Computer infiziert!

timo41283

Hallo Leute!
Hatte vor ein paar Tagen ein Link von einem Freund über den Yahoo Messenger bekommen und habe ihn angeklickt.
Später laß ich über diese Seite das sie infiziert ist und in keinem Fall angeklickt werden darf.
Ich poste diese seite hier nicht damit keiner dort draufklickt.
Habe ein escan durchgeführt und er hat einiges gefunden.
Was mich bdenklich stimmt ist der Backdoor.
Ich danke für die kompetente Hilfe im Vorraus.
Ich mußte die Host Teile rausnehmen weil sonst der Beitrag viel zu groß gewesen wäre und ich nicht 1000 von Internet Adressen editiert hätte können.
Die HijackThis Logfile ist unter der escan logfile.
Hier der Escan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.6
Sprache: German
C:\DOKUME~1\Timo\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\DOWNLO~1\setup.inf
Offending file found: C:\WINDOWS\DOWNLO~1\setup.inf
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan AntiVirus und Antispyware Toolkit.
eScan AntiVirus und Antispyware Toolkit.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan AntiVirus und Antispyware Toolkit.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Timo\LOKALE~1\Temp\spydb.avs, Size: 849852]...
Indexed Spyware Databases Successfully Created...
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (C:\WINDOWS\DOWNLO~1\setup.inf)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.
System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.
System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Timo\LOKALE~1\Temp\spydb.avs, Size: 849852]...
Indexed Spyware Databases Successfully Created...
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (C:\WINDOWS\DOWNLO~1\setup.inf)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.
System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.
System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be90cbc7-adc6-11dc-99bc-000e2ec1db38} !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be90cbc7-adc6-11dc-99bc-000e2ec1db38} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - C:\WINDOWS\explorer.exe
mexe.com - "C:\DOKUME~1\Timo\LOKALE~1\Temp\mexe.com"
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Timo\Eigene Dateien\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Possible Error In InsertIntoDB of value [%sysdir%\intmon.exe]...
ERROR!!! Invalid Entry Debugger = drwtsn32 -p %ld -e %ld -g (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\AEDEBUG). Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\ASFWHide in SYSTEM\CurrentControlSet\Services\ASFWHide. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\catchme.sys in SYSTEM\CurrentControlSet\Services\catchme. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\drivers\EagleNT.sys in SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\igxpmp32.sys in SYSTEM\CurrentControlSet\Services\ialm. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\46.tmp in SYSTEM\CurrentControlSet\Services\MEMSWEEP2. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE in SYSTEM\CurrentControlSet\Services\MWAgent. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\WINDOWS\system32\PnkBstrA.exe in SYSTEM\CurrentControlSet\Services\PnkBstrA. Action Taken: No Action Taken.
OpenError (C:\WINDOWS\system32\Drivers\sptd.sys): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20)
ERROR!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys...
ERROR!!! Invalid Entry %SystemRoot%\System32\ups.exe in SYSTEM\CurrentControlSet\Services\UPS. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\VClone.sys in SYSTEM\CurrentControlSet\Services\VClone. Action Taken: No Action Taken.
ERROR!!! Invalid Entry Debugger = drwtsn32 -p %ld -e %ld -g (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\AEDEBUG). Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\ASFWHide in SYSTEM\CurrentControlSet\Services\ASFWHide. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\catchme.sys in SYSTEM\CurrentControlSet\Services\catchme. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\drivers\EagleNT.sys in SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\igxpmp32.sys in SYSTEM\CurrentControlSet\Services\ialm. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\46.tmp in SYSTEM\CurrentControlSet\Services\MEMSWEEP2. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE in SYSTEM\CurrentControlSet\Services\MWAgent. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\WINDOWS\system32\PnkBstrA.exe in SYSTEM\CurrentControlSet\Services\PnkBstrA. Action Taken: No Action Taken.
OpenError (C:\WINDOWS\system32\Drivers\sptd.sys): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20)
ERROR!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys...
ERROR!!! Invalid Entry %SystemRoot%\System32\ups.exe in SYSTEM\CurrentControlSet\Services\UPS. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\VClone.sys in SYSTEM\CurrentControlSet\Services\VClone. Action Taken: No Action Taken.
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\SecuROM\UserData\???????????p?????????
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\SecuROM\UserData\???????????p?????????
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\EIGENE~1\mwav.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\EIGENE~1\PROGRA~1\C&C3TO~1\CNC3_P~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\LOKALE~1\Temp\JET21D6.tmp
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_02\lib\rt.jar
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\drivers\sptd.sys
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 58381
Zahl der kritischen Objekte: 6
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 14
Zeit verstrichen: 00:01:57
Zahl der gescannten Objekte: 108408
Zahl der Fehler: 11
Zeit verstrichen: 00:38:29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 18:15:43,48
Batchende: 18:15:57,48





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:51, on 04.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://***.google.**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://go.microsoft.com/fwlink/?LinkId=69157****
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = *****://go.microsoft.com/fwlink/?LinkId=54896****
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = *****://go.microsoft.com/fwlink/?LinkId=54896***
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ****://go.microsoft.com/fwlink/?LinkId=69157****
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwnsp.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

--
End of file - 4500 bytes