Hallo!
Ich habe mir gestern einen Batch-Virus eingefangen, der hier schon öfters zur Sprache kam:

Überall steht VIRUS ALERT!, die Benutzerrechte sind eingeschränkt, Festplatten versteckt etc.
Ich habe mir hier einen älteren Thread gesucht, indem Ich auch eine Lösung gefunden habe.

Smitfraudfix,
Malwarebytes' Anti-Malware,
Und am Ende HijackThis.

Soweit so gut, Ich denke er ist größtenteils beseitigt.
So ganz kann er aber noch nicht weg sein, da mir Antivir jetzt bei jedem Start meldet das die privacy_danger.bat sich ausführen möchte. Die lösche Ich dann zwar jedesmal, nur hilft das nicht, das sie bei jedem Start wieder auftaucht. Irgendwo in meinem Computer ist also noch etwas versteckt. Ich habe HijackThis schon umbenannt und nochmals durchlaufen lassen, und hier ist das Log davon:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:31, on 23.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\PerfectDisk2008\PD91Agent.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\atwtusb.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\WTMKM.exe
C:\WINXP\system32\CTHELPER.EXE
C:\WINXP\system32\CTXFIHLP.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\SYSTEM32\CTXFISPI.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINXP\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Raven1337\Desktop\Oberordner\Programme\Hackis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader

8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame

Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'LOKALER

DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User

'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User

'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'Default

user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame

Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C32A781C-2A86-416E-B160-FD1A966B8158}:

NameServer = 192.168.1.1
O21 - SSODL: tsxngabr - {EE9E70A5-E122-4E79-B614-8BA39942A5FB} -

C:\WINXP\tsxngabr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft -

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH -

C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame

Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira

GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH

- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd -

C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINXP\system32\nvsvc32.exe
O23 - Service: PD91Agent - Raxco Software, Inc. -

C:\Programme\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. -

C:\Programme\PerfectDisk2008\PD91Engine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: WTService - Unknown owner - C:\WINXP\system32\atwtusb.exe
O24 - Desktop Component 0: Privacy Protection -

file:///C:\WINXP\privacy_danger\index.htm

--
End of file - 6295 bytes

Mein Betriebssystem ist Windows XP Professional, Service Pack 2.
Ich hoffe das jemand hier sich das Log ansehen kann, und herausfindet was noch getan werden muss um den Virus -vollständig- zu entfernen.

Vielen Dank im voraus,
Elric

Halli hallo Elric

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • XP_ dingens.org
  • Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Poste danach bitte ein frisches HJT log ohne nervige Zeilenumbrüche zwischen den Einträgen..

Okay, soweit alles in der Liste abgearbeitet.
Vernünftige Ordneransicht ist sowieso mein Standard, der Punkt war also schon abgehakt bevor Ich hierher kam.

CC-Cleaner ist benutzt wurden.
Jetzt habe Ich noch eine letzte Frage bevor Ich mich an ComboFix mache:

Sollte Ich es im abgesicherten Modus starten?

Zitat:

Sollte Ich es im abgesicherten Modus starten?

Steht das im Tutorial oder in unserer Anleitung?
Nein.

Jajaja, Ich schalte mein Hirn ja schon ab und überlasse das denken euch

Okay, CombiFix ist durchgelaufen, alles funktioniert noch, kein Antivir-Fund der privacy_danger.bat beim Systemstart. Jetzt hab Ich nochmal HijackThis durchlaufen lassen.

Und hier nun das Log davon:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:46, on 23.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\WTMKM.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\PerfectDisk2008\PD91Agent.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\atwtusb.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\explorer.exe
C:\WINXP\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Raven1337\Desktop\Oberordner\Programme\wefsf.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C32A781C-2A86-416E-B160-FD1A966B8158}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Programme\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Programme\PerfectDisk2008\PD91Engine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: WTService - Unknown owner - C:\WINXP\system32\atwtusb.exe

--
End of file - 6468 bytes

Bitteschön. Das Log von ComboFix habe Ich bei Bedarf natürlich auch noch.

Mich würde die privacy_danger.bat interessieren, falls du die Datei noch irgendwo hochladen kannst. (zb file-upload)

Und das Combofix log würde mich auch interessieren.

lg myrtille

Ich fürchte die privacy_danger.bat ist jetzt vollkommen vernichtet
Und zum Bundeskriminalamt zu gehen um mir die Datei wiederherstellen zu lassen habe Ich auch nicht vor ^^

Ich denke Ich weiß sogar sehr genau wo Ich den pösen Virus herhabe, falls du ihn also -unbedingt- haben willst, kann Ich dir wahrschienlich eine Quelle geben.

Aber das Log kannst du gerne haben:

Zitat:

ComboFix 08-08-21.02 - Raven1337 2008-08-23 15:23:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1723 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Raven1337\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Raven1337\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\setup.exe
C:\WINXP\egwd.exe
C:\WINXP\jestertb.dll
C:\WINXP\system32\BReWErS.dll
C:\WINXP\system32\drivers\npf.sys
C:\WINXP\system32\Packet.dll
C:\WINXP\system32\tmp44.tmp
C:\WINXP\system32\tmp45.tmp
C:\WINXP\system32\tmp64.tmp
C:\WINXP\system32\tmp89.tmp
C:\WINXP\system32\WanPacket.dll
C:\WINXP\system32\wpcap.dll
C:\WINXP\tsxngabr.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-07-23 bis 2008-08-23 ))))))))))))))))))))))))))))))
.

2008-08-23 14:57 . 2008-08-23 14:57 <DIR> d-------- C:\Programme\Secunia
2008-08-23 14:53 . 2008-08-23 14:53 <DIR> d-------- C:\Programme\CCleaner
2008-08-23 13:55 . 2007-09-06 00:22 289,144 --a------ C:\WINXP\system32\VCCLSID.exe
2008-08-23 13:55 . 2006-04-27 17:49 288,417 --a------ C:\WINXP\system32\SrchSTS.exe
2008-08-23 13:55 . 2008-08-21 23:41 87,552 --a------ C:\WINXP\system32\AntiXPVSTFix.exe
2008-08-23 13:55 . 2008-05-29 09:35 86,528 --a------ C:\WINXP\system32\VACFix.exe
2008-08-23 13:55 . 2008-05-18 21:40 82,944 --a------ C:\WINXP\system32\IEDFix.exe
2008-08-23 13:55 . 2008-08-14 21:52 82,432 --a------ C:\WINXP\system32\IEDFix.C.exe
2008-08-23 13:55 . 2008-08-18 12:19 82,432 --a------ C:\WINXP\system32\404Fix.exe
2008-08-23 13:55 . 2003-06-05 21:13 53,248 --a------ C:\WINXP\system32\Process.exe
2008-08-23 13:55 . 2004-07-31 18:50 51,200 --a------ C:\WINXP\system32\dumphive.exe
2008-08-23 13:55 . 2007-10-04 00:36 25,600 --a------ C:\WINXP\system32\WS2Fix.exe
2008-08-23 13:43 . 2008-08-23 13:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-23 13:43 . 2008-08-23 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Malwarebytes
2008-08-23 13:43 . 2008-08-23 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2008-08-23 13:43 . 2008-08-17 15:01 38,472 --a------ C:\WINXP\system32\drivers\mbamswissarmy.sys
2008-08-23 13:43 . 2008-08-17 15:01 17,144 --a------ C:\WINXP\system32\drivers\mbam.sys
2008-08-23 13:39 . 2008-08-23 14:05 2,928 --a------ C:\WINXP\system32\tmp.reg
2008-08-23 04:24 . 2008-08-22 11:13 172,032 --a------ C:\WINXP\tqwolser.exe
2008-08-22 19:46 . 2008-08-22 19:46 <DIR> d-------- C:\Spieler
2008-08-22 16:58 . 2008-08-22 16:58 27 --a------ C:\WINXP\ic.ini
2008-08-11 13:43 . 2008-08-11 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Toribash
2008-08-06 02:26 . 2008-08-06 02:26 42,320 --a------ C:\WINXP\system32\xfcodec.dll
2008-07-31 16:12 . 2008-07-31 16:12 <DIR> d-------- C:\WINXP\458200709BE54785B770A50F5240250B.TMP
2008-07-30 22:55 . 2008-07-30 22:55 <DIR> d-------- C:\Programme\Free M4a to MP3 Converter

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-23 11:26 --------- d-----w C:\Programme\Kopie von DAEMON Toolz
2008-08-23 11:26 --------- d-----w C:\Programme\Kopie von DAEMON Tools Pros
2008-08-23 11:24 --------- d-----w C:\Programme\DAEMON Toolz
2008-08-23 11:24 --------- d-----w C:\Programme\DAEMON Tools Pro218
2008-08-23 11:24 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-08-23 02:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-23 01:59 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Xfire
2008-08-23 01:59 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Hamachi
2008-08-22 21:53 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Azureus
2008-08-22 17:20 --------- d-----w C:\Programme\PeerGuardian2
2008-08-20 21:38 --------- d-----w C:\Programme\Xfire
2008-08-20 19:47 137,312 ----a-w C:\WINXP\system32\drivers\PnkBstrK.sys
2008-08-03 18:13 --------- d-----w C:\Programme\Gemeinsame Dateien\BioWare
2008-07-31 14:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-27 19:28 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\SPORE Creature Creator
2008-07-22 17:55 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Ambient Design
2008-07-22 17:44 --------- d-----w C:\Programme\ArtRage 2
2008-07-13 17:10 --------- d-----w C:\Programme\Yoma Arma Addon Sync
2008-07-13 16:43 --------- d-----w C:\Programme\Sophos
2008-07-13 16:01 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-07-13 15:59 --------- d-----w C:\Programme\ModernRcon
2008-07-13 15:26 --------- d-----w C:\Programme\DAEMON Tools
2008-07-13 15:26 --------- d-----w C:\Programme\AV Vcs 6.0 DIAMOND
2008-07-13 14:15 --------- d-----w C:\Programme\escwsa
2008-07-11 16:49 --------- d-----w C:\Programme\AzureusVuz
2008-07-09 11:40 --------- d--h--w C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{0E8E33D8-193A-414A-A909-0F101A142D26}
2008-07-05 02:29 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\ZOO Digital Publishing
2008-07-04 03:09 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Nexon
2008-07-01 21:41 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\NexonUS
2008-06-30 22:06 --------- d-----w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Ace
2008-06-30 14:15 --------- d-----w C:\Programme\TSO
2008-06-25 21:31 --------- d-----w C:\Programme\MSN BackUp
2008-06-13 17:22 22,328 ----a-w C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\PnkBstrK.sys
2008-06-11 16:02 0 ----a-r C:\logwmemory.bin
2008-02-25 10:47 332 ----a-w C:\Programme\INSTALL.LOG
2007-11-11 13:03 22,328 ----a-w C:\Dokumente und Einstellungen\Rasputin\Anwendungsdaten\PnkBstrK.sys
2003-12-18 10:33 20,102 ----a-w C:\Programme\Readme.txt
2003-09-03 06:46 10,960 ----a-w C:\Programme\EULA.txt
2008-04-28 09:36 56 --sh--r C:\WINXP\system32\1BEDE86E39.sys
2008-04-28 10:34 1,682 --sha-w C:\WINXP\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29 165784]
"msnmsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-09-10 22:56 218032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINXP\system32\NvCpl.dll" [2008-05-16 14:01 13529088]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 18:38 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\WINXP\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"NvMediaCenter"="C:\WINXP\system32\NvMcTray.dll" [2008-05-16 14:01 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINXP\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINXP\system32\nwiz.exe]
"MacrokeyManager"="WTMKM.exe" [2007-05-29 09:55 1969824 C:\WINXP\system32\WTMKM.exe]
"CTHelper"="CTHELPER.EXE" [2008-02-20 20:58 19456 C:\WINXP\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2008-02-20 20:58 19968 C:\WINXP\system32\Ctxfihlp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"= 1 (0x1)
"NoSimpleStartMenu"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv31"= C:\WINXP\system32\ir32_32.dll
"vidc.iv32"= C:\WINXP\system32\ir32_32.dll
"vidc.ffds"= ffdshow.ax
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Spiele\\SupCom\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Spiele\\Battlefield 2142\\BF2142.exe"=
"C:\\WINXP\\system32\\PnkBstrA.exe"=
"C:\\WINXP\\system32\\PnkBstrB.exe"=
"C:\\Spiele\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"C:\\Spiele\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
"C:\\Spiele\\Gas Powered Games\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"=
"C:\\Dokumente und Einstellungen\\All Users.WINXP\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"C:\\Spiele\\Sins of a Solar Empire\\Sins of a Solar Empire.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Spiele\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\WINXP\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29070:UDP"= 29070:UDP:Jamp
"29060:UDP"= 29060:UDP:Jamp

R1 hwinterface;hwinterface;C:\WINXP\system32\Drivers\hwinterface.sys [2007-12-28 19:48]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 11:06]
R2 CTAudSvcService;Creative Audio Service;C:\Programme\Creative\Shared Files\CTAudSvc.exe [2008-03-07 19:24]
R2 PD91Agent;PD91Agent;C:\Programme\PerfectDisk2008\PD91Agent.exe [2008-04-16 13:00]
R2 WTService;WTService;C:\WINXP\system32\atwtusb.exe [2007-05-29 17:40]
R3 ha20x2k;Creative 20X HAL Driver;C:\WINXP\system32\drivers\ha20x2k.sys [2008-02-25 09:44]
R3 PSI;PSI;C:\WINXP\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINXP\system32\drivers\ScreamingBAudio.sys [2007-08-24 16:44]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINXP\system32\45.tmp []
S3 PD91Engine;PD91Engine;C:\Programme\PerfectDisk2008\PD91Engine.exe [2008-04-16 13:00]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-RegistryMechanic - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Raven1337\Anwendungsdaten\Mozilla\Firefox\Profiles\7dj3lg01.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 15:26:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINXP\system32\45.tmp"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\wdfmgr.exe
C:\WINXP\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-23 15:33:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-23 13:33:29

Pre-Run: 45 Verzeichnis(se), 13,274,222,592 Bytes frei
Post-Run: 49 Verzeichnis(se), 15,315,468,288 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptIn /3GB /Userva=2900
multi(0)disk(0)rdisk(0)partition(1)\WINXD="Microsoft Windows XP Professional" /fastdetect /usepmtimer

214

Und ein dickes Dankeschön für die schnelle und gute Hilfe

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Warum ist bei dir immernoch das SP2 anstatt 3 drauf?
Ich hatte ausdrücklich geschrieben, dass du es bitte installieren sollst!
So ist eine vernünftige Hilfestellung nicht möglich..

Zitat:

Zitat von undoreal

Warum ist bei dir immernoch das SP2 anstatt 3 drauf?
Ich hatte ausdrücklich geschrieben, dass du es bitte installieren sollst!
So ist eine vernünftige Hilfestellung nicht möglich..

Weil der Download mit meiner lahmen Verbindung gut eine Stunde gebraucht hätte, und Ich einen verseuchten Rechner so wenig wie möglich am laufen haben will. Also habe Ich ihn zuerst saubergemacht, und später als er wieder lief upgedatet.

Eine vernünftige Hilfestellung? Warum -muss- es SP3 sein?
Warum ist es sonst nicht möglich? Mir wurde schließlich geholfen.

Ich kann gerne jetzt nochmal alle Malware/Virenscanner durchlaufen lassen, inclusive HJT usw. und die Logs noch einmal posten.

Weil wir von Konfigurationen ausgehen die das SP3 mit sich bringt. Außerdem ist dein System alles andere als sicher ohne SP3.

Die Begründung lasse ich aber gelten..

Update bitte auf SP3 und poste danach ein frisches HJT log.

Zitat:

Zitat von undoreal

Weil wir von Konfigurationen ausgehen die das SP3 mit sich bringt. Außerdem ist dein System alles andere als sicher ohne SP3.

Die Begründung lasse ich aber gelten..

Update bitte auf SP3 und poste danach ein frisches HJT log.

Zu gnädig
Hier ist das frische Log mit SP3:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:49, on 23.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\PerfectDisk2008\PD91Agent.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\atwtusb.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\WTMKM.exe
C:\WINXP\system32\CTHELPER.EXE
C:\WINXP\system32\CTXFIHLP.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINXP\SYSTEM32\CTXFISPI.EXE
C:\Programme\Xfire\xfire.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Raven1337\Desktop\Oberordner\Programme\wefsf.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C32A781C-2A86-416E-B160-FD1A966B8158}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Programme\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Programme\PerfectDisk2008\PD91Engine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: WTService - Unknown owner - C:\WINXP\system32\atwtusb.exe

--
End of file - 6726 bytes

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Dokumente und Einstellungen\Raven1337\Desktop\Oberordner\Program me\wefsf.exe

wmplayer.exe <- wie in meiner Sig beschrieben suche und ebenfalls hochladen.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Fixe danach folgende Einträge mit Hijackthis:

Zitat:

C:\Dokumente und Einstellungen\Raven1337\Desktop\Oberordner\Program me\wefsf.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

Ummm....
Versteckte Dateien lasse Ich mir seit der Windoofinstallation anzeigen.. das gehört doch zu Standardprozedur nach dem Aufsetzen, wie ordentliche Ordneransichten, Dateiendungen und die klassische Taskbar.

In jedem Fall:
Die wefsf ist die unbenannte Hijackthis..
Hier trotzdem den Bericht:

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 -
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.25 -
BitDefender 7.2 2008.08.25 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.25 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.25 -
Fortinet 3.14.0.0 2008.08.25 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.25 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.25 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3384 2008.08.25 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.25 Suspicious file
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.25 -
Rising 20.59.00.00 2008.08.25 -
Sophos 4.32.0 2008.08.25 -
Sunbelt 3.1.1575.1 2008.08.23 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.24 -
Webwasher-Gateway 6.6.2 2008.08.25 -
weitere Informationen
File size: 401720 bytes
MD5...: e8269245566be948f6a219135b434160
SHA1..: 1ac255b76ef692ea6c09d4840dcd28c67c5d6bfe
SHA256: 3c253bfd385c7f245f3c6131e58cbe22c0d03073a828b9938f923f00562d7c2d
SHA512: bed5aa905b0b940e99489c19835c1c199878ab7455bff84748b94a0577db8d8e
ebd66c96a3fc6db110bb6fde95947837860eb701c01cb65cb73488c7a464bae8
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x542830
timedatestamp.....: 0x466838c1 (Thu Jun 07 16:56:33 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xfc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xfd000 0x46000 0x45a00 7.93 8764d7eac0301131e6c79e4aa30317bf
.rsrc 0x143000 0x1b000 0x1ae00 4.69 5f1a0873640fcdb4a281dbf91049814f

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.a...a219135b434160
packers (F-Prot): UPX
packers (Kaspersky): PE_Patch.UPX, UPX

Hier die wmplayer.exe:

[QUOTE]Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 -
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.25 -
BitDefender 7.2 2008.08.25 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.25 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.25 -
F-Secure 7.60.13501.0 2008.08.25 -
Fortinet 3.14.0.0 2008.08.25 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.25 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.25 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3384 2008.08.25 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.25 -
Rising 20.59.00.00 2008.08.25 -
Sophos 4.32.0 2008.08.25 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.25 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.24 -
Webwasher-Gateway 6.6.2 2008.08.25 -
weitere Informationen
File size: 73728 bytes
MD5...: 5c27b85537c32c899b4df07769fac023
SHA1..: 5b341f3d3dda317c5f7852bd2a57f4f7917a21be
SHA256: 96e26f002945685e7d9bb4e64ab60d95068ae90f4491733cb88953778f58a477
SHA512: ed1480eca8009a5093c8e67e614efe473dcafceeab9bf867be892b6eff89a7f9
8291b0e2a2f1f88eb1338c2c1ca95745459b8bd0f036dde0f7c4b430f9fa4169
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10010c5
timedatestamp.....: 0x48025cf1 (Sun Apr 13 19:20:17 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13f1 0x2000 4.58 e86fdf7092b0b83c4763fa3ac6fc1edb
.data 0x3000 0x54 0x1000 0.04 7dc03f876922d4d6e7032ffd6dce331f
.rsrc 0x4000 0xd3c0 0xe000 6.06 4c840714a21f65248f56e19f3939b635

( 3 imports )
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> KERNEL32.dll: GetLastError, lstrlenW, CompareStringA, ExitProcess, FreeLibrary, SetErrorMode, GetStartupInfoA, GetProcAddress, lstrcatA, lstrcpyA, HeapFree, SetCurrentDirectoryA, CloseHandle, CreateMutexA, GetCommandLineW, MultiByteToWideChar, HeapAlloc, lstrlenA, GetVersion, GetCommandLineA, GetProcessHeap, SetThreadPriority, GetCurrentThread, LocalFree, LoadLibraryA, FormatMessageA, GetModuleHandleA, InterlockedExchange, LocalAlloc, RaiseException
> USER32.dll: IsIconic, SetForegroundWindow, GetClassNameA, GetParent, GetDesktopWindow, GetWindowThreadProcessId, IsWindowVisible, GetWindow, MessageBoxA, FindWindowA, SendMessageTimeoutA, ShowWindow

( 0 exports )

Habe nun alle angegebenen Einträge bis auf wefsf mit HijackThis gefixed - Damit würde Ich das Programm ja selber entfernen. Dann nochmal ein Durchlauf danach, hier das Log davon:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Zitat:

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Aha... und für Links die automatisch im Log geschrieben wurden, bekomme Ich nun eine Verwarnung? Klaaaar...
*Kopfschüttel*

HEY ,
habe genau das selbe problem.


[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]

Zitat:

Die wefsf ist die unbenannte Hijackthis..

Ach so.

AdAware würde ich deinstallieren! Das taugt überhaupt nichts, bremst das System tierisch aus und schreibt sich überall rein..

Dein log ist sauber.

PS: Da sind schon wieder aktive Liks drinn!