Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

KILLALL::

File::
C:\WINDOWS\SYSTEM32\HADL.DLL
C:\WINDOWS\SYSTEM32\SYSMON32K.EXE

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

===

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.

• Speichere es auf Deinem Desktop.
• Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
• Klicke auf den Button "CleanUp!"
• Eine Datei* sollte nun heruntergeladen werden.
  *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
• OTMoveit fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

===

diesen onlinescan machen

ESET/NOD32


===

neues hjt-log

Hier Combolog:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-09-19.06 - Mandy Stegmann 2008-09-20 10:52:23.5 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.174 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\SYSTEM32\HADL.DLL
C:\WINDOWS\SYSTEM32\SYSMON32K.EXE
.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-20 bis 2008-09-20  ))))))))))))))))))))))))))))))
.

2008-09-18 10:47 . 2008-09-18 10:47	<DIR>	d----c---	C:\fsaua.data
2008-09-16 21:27 . 2008-09-16 21:27	580,096	--a--c---	C:\WINDOWS\system32\dllcache\user32.dll
2008-09-16 21:18 . 2008-09-16 21:20	<DIR>	d--------	C:\WINDOWS\ERUNT
2008-09-16 16:06 . 2008-09-16 16:06	276	--a------	C:\WINDOWS\_delis32.ini
2008-09-16 16:02 . 2008-09-16 16:02	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-09-16 15:58 . 2008-09-16 15:58	<DIR>	d----c---	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-22 21:53 . 2008-08-22 21:53	<DIR>	d--------	C:\WINDOWS\system32\de
2008-08-22 21:53 . 2008-08-22 21:53	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-08-22 21:53 . 2008-08-22 21:53	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-08-22 21:48 . 2008-08-22 21:54	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-08-22 21:28 . 2008-08-22 21:28	<DIR>	d--------	C:\WINDOWS\EHome

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-20 08:52	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop
2008-09-20 08:45	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-19 10:46	---------	d-----w	C:\Programme\FAHRINFO
2008-09-16 17:24	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-09-16 17:21	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-16 14:16	---------	d-----w	C:\Programme\Logitech
2008-09-16 14:07	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logitech
2008-09-11 09:07	---------	d-----w	C:\Programme\PokerStars.NET
2008-09-07 20:53	---------	d-----w	C:\Programme\PokerStars
2008-08-11 15:55	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-11 15:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-11 15:47	---------	d-----w	C:\Programme\Bonjour
2008-08-11 14:36	---------	d-----w	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-08 18:35	---------	d-----w	C:\Programme\Google
2008-08-05 23:04	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-05 23:04	---------	d-----w	C:\Programme\Apple Software Update
2008-07-27 19:32	---------	d-----w	C:\Programme\Java
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-06-24 16:42	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12	295,936	------w	C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:14	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2006-10-27 08:55	23,296	----a-w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-06-04 13:25	1,039,872	----a-w	C:\Programme\iview398g.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-15 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-15 688218]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2005-12-08 352256]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-10-02 100056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe" [2006-11-17 50736]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 413696]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 37376]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-10 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 C:\WINDOWS\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\Desktopverkn�pfungen\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-06-17 59080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-07-22 81408]
S3 adiusbae;Acer ADSL Surf USB LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [2002-05-17 203753]
S3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS [ ]
.
Inhalt des "geplante Tasks" Ordners

2008-08-05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-09-19 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE [2005-01-27 16:39]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 10:59:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-20 11:07:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-20 09:07:23
ComboFix2.txt  2008-09-19 11:05:49
ComboFix3.txt  2008-09-19 10:41:07
ComboFix4.txt  2008-09-19 10:20:36

Vor Suchlauf: 19 Verzeichnis(se), 52.590.190.592 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 52,587,917,312 Bytes frei

155	--- E O F ---	2008-09-11 09:11:41
         

hier HJT Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51:24, on 20.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kielnet-internet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177626448\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {E8F65084-03A6-47F4-8880-5FCD08E9C9B9} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-998c2b7b90c5a94d.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 10602 bytes
         

AntiVir hat sich noch 3mal gemeldet. habe folgenden Kram in Quarantäne:

"Enthält Erkennungsmuster des Exploits EXP/Math.71435":
- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\NOD1E2.tmp

und

"Enthält Erkennungsmuster des Exploits EXP/Math.71435":
- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\NOD1E6.tmp

und

"Ist das Trojanische Pferd TR/Crypt.PEPM.Gen":
- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\NOD2420.tmp

Die sind vom NOD Onlinescanner, wo ist das ergebnis von diesem?

Der hat nichts gefunden.

Kann die Seite mittlerweile auch nicht mehr aufrufen.

is klar dass du die nicht mehr aufrufen kannst, hast sie ja mit antivir gekillt .


Fixen/Löschen mit Hijackthis


Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

alle O16 Einträge

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"

Rechner neu starten.

===

wie läuft der rechner? noch probleme? von meiner seite aus bist du clean

Hab jetzt noch nichts gefixt, da AntiVir sich nochmal gemeldet hat. Ist ordentlich was dazu gekommen:

Trojanisches Pferd TR/Dldr.FraudLoad.vbxt:
- C:\WINDOWS\temp\TDSS5c84.tmp

Enthält ein Erkennungsmuster des (gefährlichen)Backdoorprogrammes BDS/Agent.rfw:
- C:\WINDOWS\temp\TDSS4a0.tmp

Enthält ein Erkennungsmuster des (gefährlichen)Backdoorprogrammes BDS/Agent.rfv:
- C:\WINDOWS\temp\TDSS39aa.tmp

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen:
-C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\ediliaif.exe

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen:
-C:\WINDOWS\temp\TDSSa166.tmp

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen:
-C:\WINDOWS\temp\TDSSa68.tmp

Gibts daraufhin mehr zu fixen ?
Soll ich den Kram einfach in Quarantäne lassen, löschen, oder isses eh nach dem Fixen verschwunden !?

===

Ansonsten läuft alles rund.

ATF - Cleaner

• Download Atf Cleaner Windows
• Setze Häkchen in alle Fächer, wie du es hier siehst:

und

• Leere damit die temporären Ordner unter den Benutzer Accounts und im Administrator Account.
• Leere die temporären Ordner in Firefox und/oder Opera, wenn vorhanden.
• Wiederhole den Vorgang solange, bis 0 Funde angezeigt werden.
• Wiederhole diesen Vorgang nach jedem Besuch im Netz, unter dem Account, mit dem du im Netz warst.

(Atribune.org Anleitung)

===

update antivir, lass einen komplettscan machen, poste das log.

===

aber ich würde mich schonmal mit formatieren anfreunden. entweder hat das rootkit ganze arbeit geleistet oder du surfst auf ganz komischen seiten rum während unserer bereinigung....

Traue mich ja kaum noch ins Internet zu gehen..

UND kann die Seite vom ATf Cleaner nicht aufrufen.

aber der download geht oder? dann stell so ein wie in den bildern und gut

Nö, Download funzt auch nicht

bei mir geht er, versuch bitte den Ccleaner.

http://www.trojaner-board.de/51464-a...-ccleaner.html

Nach Neustart war Firewall deaktiviert und mein Freund AntiVir hat mir folgendes angezeigt:

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
-C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\temp\jkmpmgja.exe

..mal wieder in Quarantäne zu den anderen gesteckt.
Hab nun CCleaner durchlaufen lassen. Danach konnte ich ATF Cleaner runterladen, hab das auch gemacht, sowie bei HJT die Sachen gefixt.
Lasse AntiVir jetzt nochmal durchlaufen...

Was passiert denn mit den Sachen in Quarantäne ? Löschen? Drin lassen ?

löschen, aber ich seh schwarz für dein system....
warten wir mal auf den av-scan.