Befall von Antivirus xp, Trojanern und sonstiges

Alan5mithee · 15.09.2008, 11:32

Hallo,

mich haben einige Viren befallen und ich glaube nicht, dass ich sie ohne prof. Hilfe wieder los kriege. AVG meldet ständig Warnungen.

Geb hier schonmal ein hjt.log wieder

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22:48, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\Lavasoft\Ad-Aware\aawservice.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\lsass.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\WINDOWS\system32\lphcet0j0ea9v.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\Temp\.tt49.tmp.exe
I:\WINDOWS\system32\LEXBCES.EXE
I:\WINDOWS\system32\LEXPPS.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\devldr32.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\wdfmgr.exe
I:\PROGRA~1\AVG\AVG8\avgrsx.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\3D.tmp
I:\WINDOWS\system32\47.tmp
I:\WINDOWS\System32\Cpl32ver.exe
I:\Programme\Outlook Express\msimn.exe
I:\Dokumente und Einstellungen\xyz\Desktop\Downloads\qlketzd.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.king.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - I:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {D61E588F-18E0-43D2-B885-B1A1A9B2DF90} - I:\WINDOWS\system32\crtdl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [lphcet0j0ea9v] I:\WINDOWS\system32\lphcet0j0ea9v.exe
O4 - HKLM\..\Run: [in3] I:\WINDOWS\Temp\.tt49.tmp.exe /CR=34015803198DE9F11EE8495C41DD2D880311B3CA8C6CD4301E241020FD18A64BEE4C9FEAD1E58559D0144B04ACEF9A71D491A9E3A0F0D3245E8C17C22418300045F5AF4AC7546A6BFD2722F37B290FD7290B9C
O4 - HKLM\..\Run: [inrhcat0j0ea9v] I:\WINDOWS\Temp\.tt49.tmp.exe /CR=D41D8CD98F00B204E9800998ECF8427E
O4 - HKLM\..\Run: [Cpl32ver] I:\WINDOWS\System32\Cpl32ver.exe
O4 - Startup: Allzeit Atomzeit.lnk.disabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\Sonstige Spiele\1-Kartenspiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\Sonstige Spiele\1-Kartenspiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - I:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: nnpkkpx - I:\WINDOWS\SYSTEM32\nnpkkpx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - I:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - I:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

--
End of file - 5744 bytes

Außerdem kann ich den taskmanager nicht aufrufen und komme nicht in alle Ordner.

Wäre für Hilfe dankbar.

Chris4You · 15.09.2008, 11:51

Hi,

stark verseucht....

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

I:\WINDOWS\system32\lphcet0j0ea9v.exe
I:\WINDOWS\system32\3D.tmp
I:\WINDOWS\system32\47.tmp
I:\WINDOWS\System32\Cpl32ver.exe
I:\WINDOWS\system32\crtdl.dll
I:\WINDOWS\Temp\.tt49.tmp.exe
I:\WINDOWS\SYSTEM32\nnpkkpx.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls alle Files erkannt wurden weitermachen, ansonsten nicht erkannte Files unten im
Avengerscript rausnehmen!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnpkkpx

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lphcet0j0ea9v
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|in3
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Cpl32ver

Files to delete:
I:\WINDOWS\system32\lphcet0j0ea9v.exe
I:\WINDOWS\system32\3D.tmp
I:\WINDOWS\system32\47.tmp
I:\WINDOWS\System32\Cpl32ver.exe
I:\WINDOWS\system32\crtdl.dll
I:\WINDOWS\Temp\.tt49.tmp.exe
I:\WINDOWS\SYSTEM32\nnpkkpx.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O2 - BHO: (no name) - {D61E588F-18E0-43D2-B885-B1A1A9B2DF90} - I:\WINDOWS\system32\crtdl.dll

Danach bitte MAM installieren, updaten und bereinigen lassen, Log posten;
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html

combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

Chris

Achtung bin nur noch ca. 1 h zu erreichen, dann für drei Tage unterwegs....

Alan5mithee · 15.09.2008, 19:35

So dann mal die Ergebnisse:

Logs von Virustotal

Code:

ATTFilter

3D.tmp

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.9.13.0	2008.09.15	Win-Trojan/Agent.96768.AE
AntiVir	7.8.1.28	2008.09.15	TR/Dropper.Gen
Authentium	5.1.0.4	2008.09.14	-
Avast	4.8.1195.0	2008.09.14	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.09.15	BackDoor.Agent.UTC
BitDefender	7.2	2008.09.15	Backdoor.Generic.95609
CAT-QuickHeal	9.50	2008.09.15	Backdoor.Agent.rev
ClamAV	0.93.1	2008.09.15	-
DrWeb	4.44.0.09170	2008.09.15	Trojan.Elpaso
eSafe	7.0.17.0	2008.09.14	Win32.Agent.rev
eTrust-Vet	31.6.6090	2008.09.15	-
Ewido	4.0	2008.09.15	-
F-Prot	4.4.4.56	2008.09.14	-
F-Secure	8.0.14332.0	2008.09.15	Backdoor.Win32.Agent.rev
Fortinet	3.113.0.0	2008.09.15	W32/MarioF.B!tr.bdr
GData	19	2008.09.15	Backdoor.Win32.Agent.rev
Ikarus	T3.1.1.34.0	2008.09.15	-
K7AntiVirus	7.10.454	2008.09.13	Backdoor.Win32.Agent.rev
Kaspersky	7.0.0.125	2008.09.15	Backdoor.Win32.Agent.rev
McAfee	5383	2008.09.12	Generic BackDoor
Microsoft	1.3903	2008.09.15	TrojanDropper:Win32/Mariofev.A
NOD32v2	3442	2008.09.15	-
Norman	5.80.02	2008.09.15	W32/Agent.HDDC
Panda	9.0.0.4	2008.09.15	Suspicious file
PCTools	4.4.2.0	2008.09.15	-
Prevx1	V2	2008.09.15	Cloaked Malware
Rising	20.61.42.00	2008.09.12	-
Sophos	4.33.0	2008.09.15	W32/MarioF-B
Sunbelt	3.1.1633.1	2008.09.13	Backdoor.Win32.Agent.rev
Symantec	10	2008.09.15	Trojan Horse
TheHacker	6.3.0.9.082	2008.09.14	-
TrendMicro	8.700.0.1004	2008.09.15	TROJ_OTOREC.A
VBA32	3.12.8.5	2008.09.14	-
ViRobot	2008.9.12.1375	2008.09.12	-
VirusBuster	4.5.11.0	2008.09.14	-
Webwasher-Gateway	6.6.2	2008.09.15	Trojan.Dropper.Gen
weitere Informationen
File size: 96768 bytes
MD5...: 52ddd8b95718a1912045ed9d17eaf002
SHA1..: 8bc7cc133aa62bca2d3d23faa92240fd04178925
SHA256: 01b65c92f88b3af88a33574d8f23652a9f29964fd9d63720c8b67b5c252b2eab
SHA512: 55944238cd35513f775172cb7169e2f9c5dd7b8f85a1467218aecbe4ec410b50
1c8a89bda488233df34ecdf3c23a4f17a0e534c831314ae0638aae3e517891b1
PEiD..: ASPack v2.12
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
VXD Driver (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x444001
timedatestamp.....: 0x48c2cdcb (Sat Sep 06 18:36:59 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0xc00 7.84 6411f8cda86fe139e7c1aebaef1e69d5
.text1 0x3000 0x1000 0x200 5.23 20416e2a336efefcb2097c6cf36e349d
.rdata 0x4000 0x1000 0x600 7.11 a5f7d463337f9dcd862b3e3b54d452c9
.data 0x5000 0x1000 0x200 1.20 3e9e21c435bb41a1d4643bb466afdbdc
.data1 0x6000 0x1000 0x400 5.57 76305a8c2881505e6d1b6b728c908289
.rsrc 0x7000 0x3d000 0x14800 7.99 c128df384bca1e1b8cf9816bc8079f5d
.aspack 0x44000 0x2000 0x1200 5.78 fa96fbf34b479ee511eec02348b1be22
.adata 0x46000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 6 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> mfc42.dll: -
> msvcrt.dll: _controlfp
> user32.dll: GetMessageA
> advapi32.dll: RegOpenKeyExA
> ntdll.dll: NtQueryObject

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9B9E14E500ECD8327A8501E3CB1FEB000130C84B
packers (Kaspersky): ASPack
packers (F-Prot): Aspack


47.tmp

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.9.13.0 	2008.09.15 	-
AntiVir 	7.8.1.28 	2008.09.15 	TR/Crypt.XPACK.Gen
Authentium 	5.1.0.4 	2008.09.14 	-
Avast 	4.8.1195.0 	2008.09.14 	Win32:Zhelatin-DLF
AVG 	8.0.0.161 	2008.09.15 	Agent_r.AZ
BitDefender 	7.2 	2008.09.15 	DeepScan:Generic.Malware.dld!!.886A0254
CAT-QuickHeal 	9.50 	2008.09.15 	Win32.Email-Worm.Zhelatin.agg.4
ClamAV 	0.93.1 	2008.09.15 	-
DrWeb 	4.44.0.09170 	2008.09.15 	Trojan.Packed.607
eSafe 	7.0.17.0 	2008.09.14 	-
eTrust-Vet 	31.6.6090 	2008.09.15 	Win32/Pecoan.AD
Ewido 	4.0 	2008.09.15 	-
F-Prot 	4.4.4.56 	2008.09.14 	W32/Zhelatin.Q.gen!Eldorado
F-Secure 	8.0.14332.0 	2008.09.15 	Email-Worm.Win32.Zhelatin.agg
Fortinet 	3.113.0.0 	2008.09.15 	W32/Tibs.AGG!worm
GData 	19 	2008.09.15 	Email-Worm.Win32.Zhelatin.agg
Ikarus 	T3.1.1.34.0 	2008.09.15 	-
K7AntiVirus 	7.10.454 	2008.09.13 	Email-Worm.Win32.Zhelatin.agg
Kaspersky 	7.0.0.125 	2008.09.15 	Email-Worm.Win32.Zhelatin.agg
McAfee 	5383 	2008.09.12 	W32/Nuwar@MM
Microsoft 	1.3903 	2008.09.15 	TrojanDownloader:Win32/Nuwar.E
NOD32v2 	3442 	2008.09.15 	a variant of Win32/Nuwar.DH
Norman 	5.80.02 	2008.09.15 	W32/Tibs.gen227
Panda 	9.0.0.4 	2008.09.15 	-
PCTools 	4.4.2.0 	2008.09.15 	-
Prevx1 	V2 	2008.09.15 	-
Rising 	20.61.42.00 	2008.09.12 	Worm.Mail.Win32.Zhelatin.agg
Sophos 	4.33.0 	2008.09.15 	-
Sunbelt 	3.1.1633.1 	2008.09.13 	-
Symantec 	10 	2008.09.15 	Trojan.Galapoper.A
TheHacker 	6.3.0.9.082 	2008.09.14 	-
TrendMicro 	8.700.0.1004 	2008.09.15 	TROJ_NUWAR.DDJ
VBA32 	3.12.8.5 	2008.09.14 	-
ViRobot 	2008.9.12.1375 	2008.09.12 	-
VirusBuster 	4.5.11.0 	2008.09.14 	Worm.DR.Zhelatin.Gen!Pac.13
Webwasher-Gateway 	6.6.2 	2008.09.15 	Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 8192 bytes
MD5...: a43ade59312773b69838dd1ee86a9843
SHA1..: 2a4583c34d5740d227298ab215827b06984f12e8
SHA256: 4be0c840c78ea6cba89316551e66672c8d79350d79e5fabd3b1e51468a0bd0e6
SHA512: ad2d59b56d20fd7b66bf030ce8be09dfc69377a0b04916fb5e0a94e9b1b559cf
31fa5ba26b09e5e5c5e83a6fca702143f6093e8460272ce5023b601eb164545b
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4012ed
timedatestamp.....: 0x48cd6530 (Sun Sep 14 19:25:36 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.code 0x1000 0x32f 0x400 6.77 b43acc6ba1adae93ae34be7e6ff3de1e
.rdata 0x2000 0x12f 0x200 2.86 a5df5cc8e8eed41c50c72ecfa9915c95
.data 0x3000 0x820 0xa00 7.43 06c6e9e72da6829b68dc6e8f602866cf
.mdata 0x4000 0xaa9 0xc00 7.53 800f588ebdd9b20343a6d2adfe81805e

( 1 imports )
> KERNEL32.dll: LoadLibraryA, GetModuleFileNameA, GetProcAddress

( 2 exports )
jaud, polut


Cpl32ver.exe

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.9.13.0	2008.09.15	Win32/Virut.Gen
AntiVir	7.8.1.28	2008.09.15	TR/Dropper.Gen
Authentium	5.1.0.4	2008.09.14	-
Avast	4.8.1195.0	2008.09.14	Win32:Virtob
AVG	8.0.0.161	2008.09.15	-
BitDefender	7.2	2008.09.15	-
CAT-QuickHeal	9.50	2008.09.15	-
ClamAV	0.93.1	2008.09.15	-
DrWeb	4.44.0.09170	2008.09.15	Win32.Virut.40
eSafe	7.0.17.0	2008.09.15	Suspicious File
eTrust-Vet	31.6.6090	2008.09.15	-
Ewido	4.0	2008.09.15	-
F-Prot	4.4.4.56	2008.09.14	-
F-Secure	8.0.14332.0	2008.09.15	W32/Virut.BL
Fortinet	3.113.0.0	2008.09.15	-
GData	19	2008.09.15	Win32:Virtob
Ikarus	T3.1.1.34.0	2008.09.15	-
K7AntiVirus	7.10.454	2008.09.13	-
Kaspersky	7.0.0.125	2008.09.15	-
McAfee	5383	2008.09.12	New Win32
Microsoft	1.3903	2008.09.15	-
NOD32v2	3442	2008.09.15	-
Norman	5.80.02	2008.09.15	W32/Virut.BL
Panda	9.0.0.4	2008.09.15	-
PCTools	4.4.2.0	2008.09.15	-
Prevx1	V2	2008.09.15	-
Rising	20.61.42.00	2008.09.12	Win32.Agent.cd
Sophos	4.33.0	2008.09.15	Sus/UnkPacker
Sunbelt	3.1.1633.1	2008.09.13	-
Symantec	10	2008.09.15	-
TheHacker	6.3.0.9.082	2008.09.14	-
TrendMicro	8.700.0.1004	2008.09.15	Possible_Virut-3
VBA32	3.12.8.5	2008.09.14	-
ViRobot	2008.9.12.1375	2008.09.12	-
VirusBuster	4.5.11.0	2008.09.15	-
Webwasher-Gateway	6.6.2	2008.09.15	Trojan.Dropper.Gen
weitere Informationen
File size: 28160 bytes
MD5...: 6c389abad91ee4f42d09ed65a4fcd1c4
SHA1..: 322efc71ada7ac8cf81455b64b663a2374b5b6f0
SHA256: f81da03bdea691110fd7771d73fedb8964e587660263f1478efb9144022dc84f
SHA512: af5e301d406b7ef72ddc11914fb08d19d601022745a8fce2c930a53134026ca9
970d981e331b86214b940c96e4752783ee9c9e2711156f5dab1f2158f2951aa2
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406800
timedatestamp.....: 0x48cdfab0 (Mon Sep 15 06:03:28 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x34e 0x400 5.24 1b9804a5a93fc5380eab593d12021218
.rsrc 0x2000 0xb800 0x6600 7.94 444255704bb9ef436ac4a2884d23dda9

( 3 imports )
> KERNEL32.dll: ExitProcess, CreateEventW
> USER32.dll: CreateIcon
> ADVAPI32.dll: RegCloseKey

( 0 exports ) 


crtdl.dll

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.9.13.0 	2008.09.15 	-
AntiVir 	7.8.1.28 	2008.09.15 	TR/Crypt.FKM.Gen
Authentium 	5.1.0.4 	2008.09.14 	W32/Heuristic-VFM!Eldorado
Avast 	4.8.1195.0 	2008.09.14 	Win32:Podnuha-BJ
AVG 	8.0.0.161 	2008.09.15 	-
BitDefender 	7.2 	2008.09.15 	-
CAT-QuickHeal 	9.50 	2008.09.15 	-
ClamAV 	0.93.1 	2008.09.15 	-
DrWeb 	4.44.0.09170 	2008.09.15 	-
eSafe 	7.0.17.0 	2008.09.15 	Suspicious File
eTrust-Vet 	31.6.6090 	2008.09.15 	Win32/Kvol!generic
Ewido 	4.0 	2008.09.15 	-
F-Prot 	4.4.4.56 	2008.09.14 	W32/Podnuha.A.gen!Eldorado
F-Secure 	8.0.14332.0 	2008.09.15 	Trojan.Win32.BHO.gsm
Fortinet 	3.113.0.0 	2008.09.15 	W32/Boaxxe!tr
GData 	19 	2008.09.15 	Trojan.Win32.BHO.gsm
Ikarus 	T3.1.1.34.0 	2008.09.15 	Virus.Trojan.Win32.Pakes.cdw
K7AntiVirus 	7.10.454 	2008.09.13 	-
Kaspersky 	7.0.0.125 	2008.09.15 	Trojan.Win32.BHO.gsm
McAfee 	5383 	2008.09.12 	Boaxxe.dll
Microsoft 	1.3903 	2008.09.15 	Trojan:Win32/Boaxxe.B
NOD32v2 	3442 	2008.09.15 	-
Norman 	5.80.02 	2008.09.15 	-
Panda 	9.0.0.4 	2008.09.15 	Suspicious file
PCTools 	4.4.2.0 	2008.09.15 	Rootkit.Podnuha.Gen.2
Prevx1 	V2 	2008.09.15 	Cloaked Malware
Rising 	20.61.42.00 	2008.09.12 	RootKit.Win32.Podnuha.adc
Sophos 	4.33.0 	2008.09.15 	-
Sunbelt 	3.1.1633.1 	2008.09.13 	-
Symantec 	10 	2008.09.15 	-
TheHacker 	6.3.0.9.082 	2008.09.14 	-
TrendMicro 	8.700.0.1004 	2008.09.15 	-
VBA32 	3.12.8.5 	2008.09.15 	Trojan.Win32.Boaxxe
ViRobot 	2008.9.12.1375 	2008.09.12 	-
VirusBuster 	4.5.11.0 	2008.09.15 	Rootkit.Podnuha.Gen.2
Webwasher-Gateway 	6.6.2 	2008.09.15 	Trojan.Crypt.FKM.Gen
weitere Informationen
File size: 93184 bytes
MD5...: fa2419c7156f8e52bab932c2bdaa86e3
SHA1..: a45abb7fd6b710a327fb232ffd59c78f4e7c03b6
SHA256: 1b6e9525f33a0cd9068dc85780102514e54c1e3b7f11b4a3a50dfeff5dcd7646
SHA512: 6945df38617caa57757137dab82fd8390f5bd1a2d9c6972e04f423183a680631
beea649e0ff4ebbbc57f54a7f4ca793725332cdf77853fdb743eec3045e42833
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Win16/32 Executable Delphi generic (2.8%)
Generic Win/DOS Executable (2.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43d660
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x27000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x28000 0x16000 0x15a00 7.90 5f1b281c36613e4cd25c9c8c2302dcd1
.rsrc 0x3e000 0x1000 0xe00 3.84 998a397d5a728ed65c896518f4047697

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> ole32.dll: IsEqualGUID
> oleaut32.dll: LoadTypeLib
> shell32.dll: SHGetMalloc
> user32.dll: SetTimer
> wininet.dll: InternetCrackUrlA

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, InitEntry0
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8273163B0035461D6C2701F4E8CD620012E4AB4D
packers (F-Prot): UPX
packers (Avast): UPX


.tt49.tmp.exe

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	Win32:Adware-gen
AVG 	- 	- 	Generic11.VMI
BitDefender 	- 	- 	Adware.XpAntivirus.AJ
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	Trojan.Peed.IG
DrWeb 	- 	- 	-
eSafe 	- 	- 	-
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	-
Fortinet 	- 	- 	-
GData 	- 	- 	-
Ikarus 	- 	- 	-
K7AntiVirus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	-
NOD32v2 	- 	- 	Win32/Adware.XPAntivirus
Norman 	- 	- 	-
Panda 	- 	- 	-
PCTools 	- 	- 	-
Prevx1 	- 	- 	Malicious Software
Rising 	- 	- 	-
Sophos 	- 	- 	Mal/FakeAV-B
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	TROJ_FAKEAV.LE
VBA32 	- 	- 	-
ViRobot 	- 	- 	-
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	-
weitere Informationen
MD5: 92ac58f8281211701f9ded5dc4b2037d
SHA1: df8c051b9855a3acc2954456f92c263f6f53c79a
SHA256: 73112fecdd4d79b800c336273410aa8bc5b4ff72bbb4ace058741ccafd6c6231
SHA512: 18f4d139768b0212c4338dc3b340612b0c93c0ab7ee5b3409a6f95ab54352f9a8e268c721840c509044de982f1669042e3bc87de475deb0861fcda7ce1cbd7b6

lphcet0j0ea9v.exe und nnpkkpx.dll konnten nicht übertragen werden.

Avenger Log:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at I:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "Abiosdsk" found!
Start Type:  4 (Disabled)

Hidden driver "SLSRRUTQ" found!
DisplayName:  SLSRRUTQ 
ImagePath:  \??\I:\WINDOWS\system32\drivers\SLSRRUTQ.sys 
Start Type:  2 (Automatic)

Hidden driver "WinSock2" found!
Rootkit scan completed.

File "I:\WINDOWS\system32\lphcet0j0ea9v.exe" deleted successfully.
File "I:\WINDOWS\system32\3D.tmp" deleted successfully.
File "I:\WINDOWS\system32\47.tmp" deleted successfully.
File "I:\WINDOWS\System32\Cpl32ver.exe" deleted successfully.
File "I:\WINDOWS\system32\crtdl.dll" deleted successfully.

Error:  file "I:\WINDOWS\Temp\.tt49.tmp.exe" not found!
Deletion of file "I:\WINDOWS\Temp\.tt49.tmp.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "I:\WINDOWS\SYSTEM32\nnpkkpx.dll" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnpkkpx" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lphcet0j0ea9v" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|in3" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Cpl32ver" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Alan5mithee · 15.09.2008, 19:37

Combofix-Log:

Code:

ATTFilter

ComboFix 08-09-14.06 - xyz 2008-09-15 19:50:08.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.96 [GMT 2:00]
ausgeführt von:: I:\Dokumente und Einstellungen\xyz\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Antivirus XP 2008
I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Antivirus XP 2008.lnk
I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
I:\WINDOWS\file.bat
I:\WINDOWS\system32\8.tmp
I:\WINDOWS\system32\A.tmp
I:\WINDOWS\system32\asycfil.dll
I:\WINDOWS\system32\atmpvcn.dll
I:\WINDOWS\system32\avmadd3.dll
I:\WINDOWS\system32\bthc.dll
I:\WINDOWS\system32\camoc.dll
I:\WINDOWS\system32\catsrvp.dll
I:\WINDOWS\system32\ci.dll
I:\WINDOWS\system32\cmcfg3.dll
I:\WINDOWS\system32\comctl3.dll
I:\WINDOWS\system32\compatU.dll
I:\WINDOWS\system32\D.tmp
I:\WINDOWS\system32\F.tmp
I:\WINDOWS\system32\MSINET.oca

.
(((((((((((((((((((((((   Dateien erstellt von 2008-08-15 bis 2008-09-15  ))))))))))))))))))))))))))))))
.

2008-09-15 16:51 . 2008-09-15 16:51	176,128	--a------	I:\WINDOWS\system32\73.tmp
2008-09-15 16:51 . 2008-09-15 16:51	39,424	--a------	I:\WINDOWS\system32\6C.tmp
2008-09-15 16:51 . 2008-09-15 16:51	13,312	--a------	I:\WINDOWS\system32\67.tmp
2008-09-15 16:51 . 2008-09-15 16:51	8,192	--a------	I:\WINDOWS\system32\74.tmp
2008-09-15 16:51 . 2008-09-15 16:51	184	--a------	I:\WINDOWS\system32\5A.tmp
2008-09-15 16:51 . 2008-09-15 16:51	0	--a------	I:\WINDOWS\system32\75.tmp
2008-09-15 16:48 . 2008-09-15 16:48	176,128	--a------	I:\WINDOWS\system32\5F.tmp
2008-09-15 16:48 . 2008-09-15 16:48	39,424	--a------	I:\WINDOWS\system32\5D.tmp
2008-09-15 16:48 . 2008-09-15 16:48	8,192	--a------	I:\WINDOWS\system32\60.tmp
2008-09-15 16:48 . 2008-09-15 16:48	184	--a------	I:\WINDOWS\system32\47.tmp
2008-09-15 16:48 . 2008-09-15 16:48	18	--a------	I:\WINDOWS\system32\63.tmp
2008-09-15 16:44 . 2008-09-15 16:44	176,128	--a------	I:\WINDOWS\system32\4E.tmp
2008-09-15 16:44 . 2008-09-15 16:44	39,424	--a------	I:\WINDOWS\system32\4B.tmp
2008-09-15 16:44 . 2008-09-15 16:44	8,192	--a------	I:\WINDOWS\system32\4F.tmp
2008-09-15 16:44 . 2008-09-15 16:44	184	--a------	I:\WINDOWS\system32\3D.tmp
2008-09-15 16:44 . 2008-09-15 16:44	18	--a------	I:\WINDOWS\system32\50.tmp
2008-09-15 16:43 . 2008-09-15 16:43	21,504	--a------	I:\WINDOWS\system32\nnpkkpx.dll
2008-09-15 15:44 . 2008-09-15 12:14	578,560	--a------	I:\WINDOWS\system32\chka
2008-09-15 15:43 . 2008-09-15 15:43	96,768	--a------	I:\WINDOWS\system32\6A.tmp
2008-09-15 15:43 . 2008-09-15 15:43	39,424	--a------	I:\WINDOWS\system32\69.tmp
2008-09-15 15:43 . 2008-09-15 15:43	13,312	--a------	I:\WINDOWS\system32\68.tmp
2008-09-15 15:43 . 2008-09-15 15:43	8,192	--a------	I:\WINDOWS\system32\6D.tmp
2008-09-15 15:43 . 2008-09-15 15:43	224	--a------	I:\WINDOWS\system32\66.tmp
2008-09-15 15:43 . 2008-09-15 15:43	18	--a------	I:\WINDOWS\system32\70.tmp
2008-09-15 15:30 . 2008-09-15 12:14	578,560	--a------	I:\WINDOWS\system32\mpnlwox
2008-09-15 15:30 . 2008-09-15 15:30	96,768	--a------	I:\WINDOWS\system32\59.tmp
2008-09-15 15:30 . 2008-09-15 15:30	39,424	--a------	I:\WINDOWS\system32\56.tmp
2008-09-15 15:30 . 2008-09-15 15:30	13,312	--a------	I:\WINDOWS\system32\53.tmp
2008-09-15 15:30 . 2008-09-15 15:30	8,192	--a------	I:\WINDOWS\system32\5B.tmp
2008-09-15 15:30 . 2008-09-15 15:30	224	--a------	I:\WINDOWS\system32\51.tmp
2008-09-15 15:30 . 2008-09-15 15:30	18	--a------	I:\WINDOWS\system32\5C.tmp
2008-09-15 15:28 . 2008-09-15 12:14	578,560	--a------	I:\WINDOWS\system32\ouhfr
2008-09-15 15:27 . 2008-09-15 15:27	96,768	--a------	I:\WINDOWS\system32\4A.tmp
2008-09-15 15:27 . 2008-09-15 15:27	39,424	--a------	I:\WINDOWS\system32\49.tmp
2008-09-15 15:27 . 2008-09-15 15:27	13,312	--a------	I:\WINDOWS\system32\46.tmp
2008-09-15 15:27 . 2008-09-15 15:27	8,192	--a------	I:\WINDOWS\system32\4C.tmp
2008-09-15 15:27 . 2008-09-15 15:27	224	--a------	I:\WINDOWS\system32\43.tmp
2008-09-15 15:27 . 2008-09-15 15:28	18	--a------	I:\WINDOWS\system32\4D.tmp
2008-09-15 12:14 . 2008-09-15 12:14	39,424	--a------	I:\WINDOWS\system32\3C.tmp
2008-09-15 12:14 . 2008-09-15 12:14	224	--a------	I:\WINDOWS\system32\3B.tmp
2008-09-15 12:14 . 2008-09-15 12:14	18	--a------	I:\WINDOWS\system32\48.tmp
2008-09-14 22:41 . 2008-09-14 22:41	96,768	--a------	I:\WINDOWS\system32\33.tmp
2008-09-14 22:41 . 2008-09-14 22:41	39,424	--a------	I:\WINDOWS\system32\36.tmp
2008-09-14 22:41 . 2008-09-14 22:41	8,192	--a------	I:\WINDOWS\system32\3E.tmp
2008-09-14 22:41 . 2008-09-14 22:42	18	--a------	I:\WINDOWS\system32\40.tmp
2008-09-14 21:52 . 2008-09-14 21:54	<DIR>	d--------	I:\Programme\Malwarebytes' Anti-Malware
2008-09-14 21:52 . 2008-09-14 21:52	<DIR>	d--------	I:\Dokumente und Einstellungen\xyz\Anwendungsdaten\Malwarebytes
2008-09-14 21:52 . 2008-09-14 21:52	<DIR>	d--------	I:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-09-14 21:52 . 2008-09-10 00:04	38,528	--a------	I:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-14 21:52 . 2008-09-10 00:03	17,200	--a------	I:\WINDOWS\system32\drivers\mbam.sys
2008-09-14 21:25 . 2008-09-14 21:25	96,768	--a------	I:\WINDOWS\system32\A8.tmp
2008-09-14 21:25 . 2008-09-14 21:25	39,424	--a------	I:\WINDOWS\system32\A9.tmp
2008-09-14 21:25 . 2008-09-14 21:25	8,192	--a------	I:\WINDOWS\system32\AC.tmp
2008-09-14 21:25 . 2008-09-14 21:25	224	--a------	I:\WINDOWS\system32\A6.tmp
2008-09-14 21:25 . 2008-09-14 21:25	0	--a------	I:\WINDOWS\system32\AD.tmp
2008-09-14 21:05 . 2008-09-14 21:05	39,424	--a------	I:\WINDOWS\system32\86.tmp
2008-09-14 21:05 . 2008-09-14 21:05	8,192	--a------	I:\WINDOWS\system32\89.tmp
2008-09-14 21:05 . 2008-09-14 21:05	224	--a------	I:\WINDOWS\system32\83.tmp
2008-09-14 21:05 . 2008-09-14 21:05	0	--a------	I:\WINDOWS\system32\85.tmp
2008-09-14 20:05 . 2008-09-14 20:05	8,192	--a------	I:\WINDOWS\system32\39.tmp
2008-09-14 20:05 . 2008-09-14 20:05	18	--a------	I:\WINDOWS\system32\3A.tmp
2008-09-14 20:04 . 2008-09-14 20:04	96,768	--a------	I:\WINDOWS\system32\27.tmp
2008-09-14 20:04 . 2008-09-14 20:04	39,424	--a------	I:\WINDOWS\system32\2F.tmp
2008-09-14 20:04 . 2008-09-14 20:04	224	--a------	I:\WINDOWS\system32\C.tmp
2008-09-14 11:19 . 2008-09-14 23:18	<DIR>	d--------	I:\WINDOWS\system32\CatRoot_bak
2008-09-14 10:55 . 2008-09-14 01:33	578,560	--a------	I:\WINDOWS\system32\fomy
2008-09-14 10:55 . 2008-09-14 10:55	96,768	--a------	I:\WINDOWS\system32\2D.tmp
2008-09-14 10:55 . 2008-09-14 10:55	39,934	--a------	I:\WINDOWS\system32\2E.tmp
2008-09-14 10:55 . 2008-09-14 10:55	8,192	--a------	I:\WINDOWS\system32\30.tmp
2008-09-14 10:55 . 2008-09-14 10:55	220	--a------	I:\WINDOWS\system32\22.tmp
2008-09-14 10:55 . 2008-09-14 10:56	18	--a------	I:\WINDOWS\system32\31.tmp
2008-09-14 03:08 . 2008-09-14 01:33	578,560	--a------	I:\WINDOWS\system32\awubv
2008-09-14 03:07 . 2008-09-14 03:07	96,768	--a------	I:\WINDOWS\system32\1F.tmp
2008-09-14 03:07 . 2008-09-14 03:07	39,934	--a------	I:\WINDOWS\system32\20.tmp
2008-09-14 03:07 . 2008-09-14 03:07	8,192	--a------	I:\WINDOWS\system32\23.tmp
2008-09-14 03:07 . 2008-09-14 03:07	0	--a------	I:\WINDOWS\system32\18.tmp
2008-09-14 03:06 . 2008-09-14 03:07	220	--a------	I:\WINDOWS\system32\13.tmp
2008-09-14 02:58 . 2008-09-15 16:50	21,504	--a------	I:\WINDOWS\system32\nnpkkpx32.dll
2008-09-14 02:34 . 2008-09-14 01:33	578,560	--a------	I:\WINDOWS\system32\jnmgeli
2008-09-14 02:34 . 2008-09-14 02:34	96,768	--a------	I:\WINDOWS\system32\24.tmp
2008-09-14 02:34 . 2008-09-14 02:34	39,934	--a------	I:\WINDOWS\system32\26.tmp
2008-09-14 02:34 . 2008-09-14 02:34	8,192	--a------	I:\WINDOWS\system32\29.tmp
2008-09-14 02:34 . 2008-09-14 02:34	220	--a------	I:\WINDOWS\system32\21.tmp
2008-09-14 02:34 . 2008-09-14 02:34	18	--a------	I:\WINDOWS\system32\2C.tmp
2008-09-14 02:33 . 2008-09-14 01:33	578,560	--a------	I:\WINDOWS\system32\dwdlalzhw
2008-09-14 02:33 . 2008-09-14 02:33	96,768	--a------	I:\WINDOWS\system32\15.tmp
2008-09-14 02:33 . 2008-09-14 02:33	39,934	--a------	I:\WINDOWS\system32\17.tmp
2008-09-14 02:33 . 2008-09-14 02:33	8,192	--a------	I:\WINDOWS\system32\19.tmp
2008-09-14 02:33 . 2008-09-14 02:33	18	--a------	I:\WINDOWS\system32\1C.tmp
2008-09-14 02:32 . 2008-09-14 02:32	220	--a------	I:\WINDOWS\system32\11.tmp
2008-09-14 02:06 . 2008-09-14 02:06	29	--a------	I:\WINDOWS\system32\sqeswaow.tmp
2008-09-14 01:52 . 2008-09-14 01:37	85,504	--a------	I:\WINDOWS\cpucooler.exe
2008-09-14 01:33 . 2008-09-15 16:50	32,256	--a------	I:\WINDOWS\system32\drivers\Ubf72.sys
2008-09-14 01:33 . 2008-09-14 01:33	8,192	--a------	I:\WINDOWS\system32\12.tmp
2008-09-14 01:33 . 2008-09-14 01:33	18	--a------	I:\WINDOWS\system32\14.tmp
2008-09-14 01:32 . 2008-09-14 01:32	220	--a------	I:\WINDOWS\system32\9.tmp
2008-09-14 01:29 . 2008-09-14 01:29	148,480	--a------	I:\WINDOWS\system32\TASKMGR.EXE
2008-09-14 01:11 . 2008-09-13 18:38	578,560	--a------	I:\WINDOWS\system32\mmtrlda
2008-09-14 01:11 . 2008-09-14 01:11	96,768	--a------	I:\WINDOWS\system32\6E.tmp
2008-09-14 01:11 . 2008-09-14 01:11	39,934	--a------	I:\WINDOWS\system32\6F.tmp
2008-09-14 01:11 . 2008-09-14 01:11	8,192	--a------	I:\WINDOWS\system32\71.tmp
2008-09-14 01:11 . 2008-09-14 01:11	220	--a------	I:\WINDOWS\system32\6B.tmp
2008-09-14 01:11 . 2008-09-14 01:11	18	--a------	I:\WINDOWS\system32\72.tmp
2008-09-14 00:53 . 2008-09-13 18:38	578,560	--a------	I:\WINDOWS\system32\smrgzgy
2008-09-14 00:53 . 2008-09-14 00:53	96,768	--a------	I:\WINDOWS\system32\61.tmp
2008-09-14 00:53 . 2008-09-14 00:53	39,934	--a------	I:\WINDOWS\system32\62.tmp
2008-09-14 00:53 . 2008-09-14 00:53	8,192	--a------	I:\WINDOWS\system32\64.tmp
2008-09-14 00:53 . 2008-09-14 00:53	220	--a------	I:\WINDOWS\system32\5E.tmp
2008-09-14 00:53 . 2008-09-14 00:53	18	--a------	I:\WINDOWS\system32\65.tmp
2008-09-14 00:28 . 2008-09-13 18:38	578,560	--a------	I:\WINDOWS\system32\krtmz
2008-09-14 00:28 . 2008-09-15 15:43	96,768	--a------	I:\WINDOWS\system32\paso.el
2008-09-14 00:28 . 2008-09-14 00:28	96,768	--a------	I:\WINDOWS\system32\54.tmp
2008-09-14 00:28 . 2008-09-14 00:28	39,934	--a------	I:\WINDOWS\system32\55.tmp
2008-09-14 00:28 . 2008-09-14 00:28	8,192	--a------	I:\WINDOWS\system32\57.tmp
2008-09-14 00:28 . 2008-09-14 00:28	220	--a------	I:\WINDOWS\system32\52.tmp
2008-09-14 00:28 . 2008-09-14 00:28	18	--a------	I:\WINDOWS\system32\58.tmp
2008-09-13 22:59 . 2008-09-13 18:38	578,560	--a------	I:\WINDOWS\system32\mnyu
2008-09-13 22:59 . 2008-09-13 22:59	96,768	--a------	I:\WINDOWS\system32\41.tmp
2008-09-13 22:59 . 2008-09-13 22:59	39,934	--a------	I:\WINDOWS\system32\42.tmp
2008-09-13 22:59 . 2008-09-13 22:59	8,192	--a------	I:\WINDOWS\system32\44.tmp
2008-09-13 22:59 . 2008-09-13 22:59	220	--a------	I:\WINDOWS\system32\3F.tmp
2008-09-13 22:59 . 2008-09-13 22:59	18	--a------	I:\WINDOWS\system32\45.tmp
2008-09-13 22:37 . 2008-09-13 22:37	8,192	--a------	I:\WINDOWS\system32\37.tmp
2008-09-13 22:37 . 2008-09-13 22:37	18	--a------	I:\WINDOWS\system32\38.tmp
2008-09-13 22:36 . 2008-09-13 18:38	578,560	--a------	I:\WINDOWS\system32\alodzubk

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 17:10	---------	d-----w	I:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2008-09-15 10:14	578,560	----a-w	I:\WINDOWS\system32\user32.DLL
2008-09-14 18:16	---------	d-----w	I:\Programme\Hijack This
2008-09-14 14:53	---------	d-----w	I:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-09-13 17:11	---------	d-----w	I:\Dokumente und Einstellungen\xyz\Anwendungsdaten\Azureus
2008-09-13 15:40	---------	d-----w	I:\Programme\Spybot - Search & Destroy
2008-09-13 14:29	---------	d-----w	I:\Dokumente und Einstellungen\xyz\Anwendungsdaten\FrostWire
2008-09-13 08:33	97,928	----a-w	I:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-12 14:08	---------	d-----w	I:\Programme\Google
2008-08-01 17:19	---------	d-----w	I:\Dokumente und Einstellungen\xyz\Anwendungsdaten\Skype
2008-07-05 09:26	10,520	----a-w	I:\WINDOWS\system32\avgrsstx.dll
2008-06-10 21:19	30,864	----a-w	I:\Dokumente und Einstellungen\xyz\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
 I:\WINDOWS\system32\user32.dll ... is infected !! (additional data below) 
 578,560 2008-09-15 10:14:27  I:\WINDOWS\system32\user32.DLL
 578,560 2008-09-15 10:14:27  I:\WINDOWS\system32\dllcache\user32.dll


------- Sigcheck -------

2004-08-04 00:58  22016  a658a202b5854678e1c70a21425553cb	I:\WINDOWS\system32\svchost.exe
2004-08-04 00:58  22016  e76d8b687c803bfdb2c6f9d2e5989ed6	I:\WINDOWS\system32\dllcache\svchost.exe

2008-09-15 12:14  578560  f807d01d21564a45e78896a56ad36c99	I:\WINDOWS\system32\user32.DLL
2008-09-15 12:14  578560  f807d01d21564a45e78896a56ad36c99	I:\WINDOWS\system32\dllcache\user32.dll

2004-08-03 23:14  359040  27a5959c94ee173a063ca06bd14f021a	I:\WINDOWS\system32\dllcache\tcpip.sys
2004-08-03 23:14  359040  27a5959c94ee173a063ca06bd14f021a	I:\WINDOWS\system32\drivers\tcpip.sys

2004-08-04 00:57  1042944  ea969579d22ebda5ae099035253fa00a	I:\WINDOWS\explorer.exe
2004-08-04 00:57  1042944  3f672d9033fd39fa616f85202e4e8f78	I:\WINDOWS\system32\dllcache\explorer.exe

2004-08-04 00:57  23040  352776751e5df697ae256de22a89037c	I:\WINDOWS\system32\ctfmon.exe
2004-08-04 00:57  23040  f94ed4dfe1c6a06673e28710a5249914	I:\WINDOWS\system32\dllcache\ctfmon.exe

2004-08-04 00:58  65536  6c01e91529b7197919d4f95c5275aa32	I:\WINDOWS\system32\spoolsv.exe
2004-08-04 00:58  65536  8e60f66b67776cc057204f75216ca588	I:\WINDOWS\system32\dllcache\spoolsv.exe

2004-08-04 00:58  32768  5c66789636433239017171b04c048d17	I:\WINDOWS\system32\userinit.exe
2004-08-04 00:58  32768  2bd7d18f3a91909523b5aa3001e9f37a	I:\WINDOWS\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="I:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]

I:\Dokumente und Einstellungen\xyz\Startmen\Programme\Autostart\
Allzeit Atomzeit.lnk.disabled [2006-03-09 1629]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCommonGroups"= 0 (0x0)
"NoSimpleStartMenu"= 1 (0x1)
"NoWinKeys"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnpkkpx]
2008-09-15 16:43 21504 I:\WINDOWS\system32\nnpkkpx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ubf72.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winms50.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winqw26.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winta37.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BlockAds"=
"Pop-Up-Blocker"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"FinePrint Dispatcher v5"="I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
"AVG8_TRAY"=I:\PROGRA~1\AVG\AVG8\avgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"I:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"I:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"I:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Ubf72;Ubf72;I:\WINDOWS\system32\Drivers\Ubf72.sys [2008-09-15 32256]
R1 AvgLdx86;AVG AVI Loader Driver x86;I:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-13 97928]
R2 avg8emc;AVG8 E-mail Scanner;I:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-09-13 875288]
R2 avg8wd;AVG8 WatchDog;I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-09-13 231704]
R2 AvgTdiX;AVG8 Network Redirector;I:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-05 76040]
S2 SLSRRUTQ;SLSRRUTQ;I:\WINDOWS\system32\drivers\SLSRRUTQ.sys [ ]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);I:\WINDOWS\system32\DRIVERS\k510bus.sys [2007-02-06 58288]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;I:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-02-06 8336]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;I:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-02-06 94064]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);I:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-02-06 85408]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;I:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-02-06 83344]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;I:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0b0a9c3-7676-11db-bf02-0080ad3b3a80}]
\Shell\AutoRun\command - F:\Setup.exe

*Newly Created Service* - CATCHME
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - I:\Dokumente und Einstellungen\xyz\Anwendungsdaten\Mozilla\Firefox\Profiles\default.fjn\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-09-15 19:57:07
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: I:\WINDOWS\system32\winlogon.exe
-> I:\WINDOWS\system32\nnpkkpx.dll
.
Zeit der Fertigstellung: 2008-09-15 20:03:51
ComboFix-quarantined-files.txt  2008-09-15 18:03:42

Pre-Run: 1,035,239,424 Bytes frei
Post-Run: 1,034,915,840 Bytes frei

284

Alan5mithee · 15.09.2008, 19:38

und abschließend noch ein neuer hjt-Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:22:26, on 15.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Lavasoft\Ad-Aware\aawservice.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\LEXBCES.EXE
I:\WINDOWS\system32\LEXPPS.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
I:\WINDOWS\system32\devldr32.exe
I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
I:\WINDOWS\system32\svchost.exe
I:\PROGRA~1\AVG\AVG8\avgrsx.exe
I:\PROGRA~1\AVG\AVG8\avgemc.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\A.tmp
I:\WINDOWS\system32\E.tmp
I:\WINDOWS\system32\lsass.exe
I:\Dokumente und Einstellungen\xyz\Desktop\Downloads\qlketz.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.king.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - I:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6FD9996D-13DF-4A5B-8AAD-381266710C63} - I:\WINDOWS\system32\cabine.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [advap32] .\A.tmp/r
O4 - Startup: Allzeit Atomzeit.lnk.disabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\Sonstige Spiele\1-Kartenspiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\Sonstige Spiele\1-Kartenspiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - I:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: nnpkkpx - I:\WINDOWS\SYSTEM32\nnpkkpx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - I:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - I:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

--
End of file - 5167 bytes

Alan5mithee · 15.09.2008, 19:56

Zitat:

Zitat von Chris4You

Achtung bin nur noch ca. 1 h zu erreichen, dann für drei Tage unterwegs....

Danke schonmal!

Hoffe es übernimmt ein anderer vom board.

Silent sharK · 15.09.2008, 22:00

Hi,
dein System ist noch hoch verseucht und bei einer Backdoor Infektion würde ich definitiv Neuaufsetzen - ehrlich gesagt.
Der Grund liegt bei der Art der Infizierung (in deinem Fall eine Backdoor). Die daraus resultierende Technische Kompromittierung zeigt den Zustand deines Systems deutlich.

Wenn du Zeit und Lust hast (ich empfehle es dir) die Artikel durchzulesen wirst du einsehen, das es Nichts mehr zu retten gibt.

Solltest du trotzdem anders entscheiden, lass es mich wissen.

solong..

Alan5mithee · 16.09.2008, 11:23

ja das werde ich dann wohl machen müssen.

Gibt's dazu hier eine gute Anleitung? Muss ich alle Partitionen löschen oder reicht es die Windows Partition zu formatieren?

Silent sharK · 16.09.2008, 13:13

Ja die Boardanleitung zum Neuaufsetzen und ja, alle Partitionen formatieren.

Befall von Antivirus xp, Trojanern und sonstiges

Plagegeister aller Art und deren Bekämpfung: Befall von Antivirus xp, Trojanern und sonstiges