Hallo,
ich hab ein Problem wie viele andere und hoffe das mir speziell geholfen wird.
Vor kurzem habe ich einen blauen Desktop bekommen mit einer Meldung das Spyware detectet wurde. Mit Combofix konnte ich das Problem beseitigen, es taucht nur leider immer wieder auf....
Seitdem habe ich auch laufen Meldungen über Trojaner "siehe oben im Thema"
Mein Betriebssystem ist Windows XP.
Kann man folgende Webseite auf Viren und Trojanerprüfen lassen? h**p://w*w.dota-league.com/
Hab das Gefühl das immer beim Aufruf der Seite vermehrt Meldungen von Antivir kommen.
Ich habe bis jetzt noch keine Schritte durchgeführt die für andere Personen vorgeschlagen wurden, weil dort immer geschrieben wurde jeder muss selber ein Thema eröffnen...

Gruß Holger

Zitat:

Zitat von iceONdope

Ich habe bis jetzt noch keine Schritte durchgeführt die für andere Personen vorgeschlagen wurden, weil dort immer geschrieben wurde jeder muss selber ein Thema eröffnen...

Gruß Holger

Aber du hast Combofix auf eigene Initiative ausgeführt, und das ist nicht gut, nur wenn es dir jemand aus dem Kompetenzteam empfiehlt, solltest du es anwenden.

Guck mal unter C:\ oder C:\Combofix ob da eine Combofix.txt liegt und poste den Inhalt dieser Textdatei in diesen Thread.

Desweiteren lasse SmitfraudFix scannen und Poste den Report, geh nach der Anleitung auf der verlinkten Seite vor.
Poste danach den Report.

Hier der ComboFix-Report
(ich hab keine Ahnung wie man so ein Kästchen mir Scrollbar einfügt, so das der Text hier nicht so lang wird, sry)


ComboFix 08-08-16.01 - Borsti 2008-08-19 18:52:37.1 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\Borsti\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\rhcrt5j0elea
C:\Programme\rhcrt5j0elea
C:\WINDOWS\system32\pphcvt5j0elea.exe
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\rhcrt5j0elea
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\lphcvt5j0elea.exe
C:\WINDOWS\system32\phcvt5j0elea.bmp
C:\WINDOWS\system32\pphcvt5j0elea.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 18:46 . 2008-08-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-19 18:34 . 2008-08-19 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ATI
2008-08-19 18:34 . 2008-08-19 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-08-19 18:34 . 2008-08-19 18:34 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-08-19 18:27 . 2008-08-19 18:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-08-19 18:23 . 2008-08-19 18:23 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-08-19 18:23 . 2008-06-03 04:47 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-08-19 18:23 . 2008-06-03 04:47 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat
2008-08-19 18:23 . 2008-06-03 04:47 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat
2008-08-19 18:23 . 2008-06-03 05:22 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-19 18:23 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat
2008-08-19 18:23 . 2008-05-22 20:46 13,848 -ra------ C:\WINDOWS\atiogl.xml
2008-08-19 18:22 . 2008-08-19 18:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-19 18:22 . 2008-08-19 18:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-17 14:55 . 2008-08-17 14:56 94,208 --a------ C:\WINDOWS\system32\44.tmp
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Malwarebytes
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 14:00 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 14:00 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 16:25 . 2008-08-07 16:25 <DIR> d-------- C:\Programme\CCleaner
2008-08-07 15:33 . 2008-08-07 15:33 <DIR> d-------- C:\Programme\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 16:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-19 16:32 --------- d-----w C:\Programme\ATI Technologies
2008-08-19 16:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-19 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-17 12:19 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\teamspeak2
2008-08-11 13:02 --------- d-----w C:\Programme\Warkeys
2008-08-07 13:33 --------- d-----w C:\Programme\Java
2008-07-04 14:54 --------- d-----w C:\Programme\FLV Player
2008-07-01 17:45 --------- d-----w C:\Programme\ICQLite
2008-07-01 17:45 --------- d-----w C:\Programme\ICQ6
2008-07-01 17:45 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ICQ
2008-07-01 15:56 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\uTorrent
2008-07-01 15:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-07-01 14:34 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-01 14:34 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-07-01 12:21 --------- d-----w C:\Programme\Google
2008-07-01 11:36 --------- d-----w C:\Programme\Spyware Doctor
2007-07-16 05:51 52 ----a-w C:\Dokumente und Einstellungen\Borsti\LWT.dat
2006-11-20 23:00 56 --sh--r C:\WINDOWS\system32\D982A528E3.sys
2007-10-10 13:29 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-10 14:52 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 05:04 59392]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-29 08:15 344064]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 12:12 266497]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-13 22:31 185632]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"lphcvt5j0elea"="C:\WINDOWS\system32\lphcvt5j0elea.exe" [BU]
"SMrhcrt5j0elea"="C:\Programme\rhcrt5j0elea\rhcrt5j0elea.exe" [BU]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 21:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCD2000]
--a------ 2007-08-17 17:21 532480 C:\WINDOWS\system32\bcd2kcpan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2006-07-19 13:03 94208 C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-06-18 16:10 271360 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-10 20:55 1266936 C:\spiele\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-09-13 22:31 185632 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2006-07-19 13:03 94208 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\spiele\\Steam\\SteamApps\\ice@team-func.de\\counter-strike\\hl.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\spiele\\Warcraft III\\war3.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\spiele\\blobby\\volley.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Garena\\Garena.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\spiele\\listchecker\\pickup.listchecker.exe"=

R2 PSTRIP;PSTRIP;C:\WINDOWS\system32\DRIVERS\PSTRIP.SYS []
R3 BCD2000;Behringer BCD2000 V1.1.1.0;C:\WINDOWS\system32\Drivers\BCD2000.SYS [2007-08-17 17:21]
R3 BCD2000WDM;Behringer BCD2000WDM V1.1.1.0;C:\WINDOWS\system32\Drivers\BCD2000WDM.SYS [2007-08-17 17:21]
R3 DCamUSBSTK018;STK018 Camera;C:\WINDOWS\system32\DRIVERS\STK018W2.sys [2005-06-20 15:08]
R3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]
R3 USB28xxBGA;PCTV 70e Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2007-08-08 08:03]
R3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2007-08-08 08:03]
S0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 17:24]
S0 xmasscsi;xmasscsi;C:\WINDOWS\System32\Drivers\xmasscsi.sys [2003-12-20 20:03]
S1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-13 22:53]
S2 BBDemon;Backbone Service;C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 07:32]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 13:32]
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-09-13 18:03]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 -: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O17 -: HKLM\CCS\Interface\{B6889D13-B839-48CD-86EF-E1299165E9AC}: NameServer = 192.168.178.1


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 18:58:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.

Hier der Logfile von Smitfraudfix nach dem 2. Schritt (Clean)


SmitFraudFix v2.338

Scan done at 1:42:45.17, 2008-08-20
Run from C:\Dokumente und Einstellungen\Borsti\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

Poste bitte auch noch ein HijackThis Logfile, nach dem scan von Malwarebytes, lass alle Funde von Malwarebytes löschen und Poste den Report.

Hier der Logfile nach dem scan und entfernen mit malware

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1078
Windows 5.1.2600 Service Pack 2

16:29:33 2008-08-23
mbam-log-08-23-2008 (16-29-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 180276
Laufzeit: 1 hour(s), 12 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcrt5j0elea (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcrt5j0elea (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcvt5j0elea (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcrt5j0elea (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\WordToPDF\PrInst.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
         

Jetzt habe ich grade einen weißen bildschirm bekommen wo drauf steht das spyware detected wurde....
Ich werde jetzt hijack durchführen und das log posten.

Hijack Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:30, on 2008-08-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Dokumente und Einstellungen\Borsti\Eigene Dateien\downloads\Programme\clock\CLOCK.EXE
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\ICQ6\ICQ.exe
C:\spiele\Warcraft III\LWT\LWT.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Borsti\LOKALE~1\Temp\hkgkpkdb.exe
C:\Dokumente und Einstellungen\Borsti\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [lphcvt5j0elea] C:\WINDOWS\system32\lphcvt5j0elea.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Analoguhr.lnk = C:\Dokumente und Einstellungen\Borsti\Eigene Dateien\downloads\Programme\clock\CLOCK.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

2.Teil

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193141884921
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6889D13-B839-48CD-86EF-E1299165E9AC}: NameServer = 192.168.178.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8470 bytes

Ein paar Informationen über meine jetzig Situation:

• Datei-Downloadfuntioniert nicht mehr
• Interseiten lassen sich teilweise nicht mehr aufbauen
• Links von google wechseln in andere Seiten teilweise
• Defragmentierung von Windows funtioniert nicht mehr
• Combofix führt nicht aus weil da so ein root-programm laufen soll

Hi

Also
1. Steht in meiner Signatur "Keine Hilfe per PN" kA wiso ich jetzt trotzdem antworte
2. Silver Dragen hat dir heute morgen in der früh zuletzt geantwortet... Es ist Sonntag und vlt. möchte er ja ausschlafen (oder nicht?)
3. Warst/bist du durch nen Backdoor infiziert (letzte Zeile im MWB Log), wodurch man dir nicht sagen kann ob der nun weg ist oder nicht
4. Du solltest Neuaufsetzen

grüsse trojan-death

Zitat:

Zitat von iceONdope

[*]Combofix führt nicht aus weil da so ein root-programm laufen soll[/LIST]

Rootkit?
Wenn ja schau mal hier -->Klick
Ist quasi ne Aufforderung zum Neuaufsetzen

Naja du hast mich ja auch nicht per PN Supported, sondern ich hab dich ja nur per PN auf meinen Thread aufmerksam gemacht
Dann danke ich euch für die Hilfe und werde mich dann mal an die Datensicherung machen und mein PC platt machen.
Freundliche Grüße Holger

Mach das
Danach hast wenigsten wieder ein Sauberes System...
Vergiss nicht alle deine Passwörter zu ändern