Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
XP Antispyware Trojaner

XP Antispyware Trojaner


Log-Analyse und Auswertung: XP Antispyware Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.10.2008, 09:18   #1
martin_w
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Hi,

hab mir auch diesen XP Antispayware Trojaner eingefangen und durch die Hilfe in anderen Beiträgen zu diesem Thema mit CCleaner und Combofix alles genau nach Anweisung abgearbeitet.

Hier nun das Combofix Logfile



ComboFix 08-10-11.02 - copyRiot 2008-10-12 9:58:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.519 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\copyRiot\Desktop\prüfung.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\copyRiot\Cookies\ezibyjik.com
C:\Dokumente und Einstellungen\copyRiot\Cookies\olada.ban
C:\Dokumente und Einstellungen\copyRiot\Cookies\uvexycocyx.dl
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\AVEngn.dll
C:\Programme\XP_AntiSpyware\comp.dat
C:\Programme\XP_AntiSpyware\data\daily.cvd
C:\Programme\XP_AntiSpyware\htmlayout.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
C:\Programme\XP_AntiSpyware\pthreadVC2.dll
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\Programme\XP_AntiSpyware\wscui.cpl
C:\Programme\XP_AntiSpyware\XP_Antispyware.cfg
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
C:\WINDOWS\brastk.exe
C:\WINDOWS\karna.dat
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\karna.dat
C:\WINDOWS\system32\sysdm.exe


.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 09:59 . 2004-08-10 21:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-10-12 09:25 . 2008-10-12 09:25 <DIR> d-------- C:\Programme\CCleaner
2008-10-12 09:03 . 2008-10-04 21:40 196,823 --a------ C:\WINDOWS\system32\_scui.cpl
2008-10-12 09:03 . 2008-10-12 09:03 19,285 --a------ C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\bixoz.pif
2008-10-12 09:03 . 2008-10-12 09:03 19,171 --a------ C:\Programme\Gemeinsame Dateien\sedezez.com
2008-10-12 09:03 . 2008-10-12 09:03 18,547 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nyxula.com
2008-10-12 09:03 . 2008-10-12 09:03 17,506 --a------ C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\iqyny.scr
2008-10-12 09:03 . 2008-10-12 09:03 16,755 --a------ C:\Programme\Gemeinsame Dateien\syjanehola.bin
2008-10-12 09:03 . 2008-10-12 09:03 16,235 --a------ C:\WINDOWS\bejul.scr
2008-10-12 09:03 . 2008-10-12 09:03 15,048 --a------ C:\WINDOWS\ymyxuro.inf
2008-10-12 09:03 . 2008-10-12 09:03 13,684 --a------ C:\WINDOWS\ujazulafe.scr
2008-10-12 09:03 . 2008-10-12 09:03 10,749 --a------ C:\WINDOWS\system32\tesu.pif
2008-10-12 09:03 . 2008-10-12 09:03 10,456 --a------ C:\WINDOWS\ofydi.exe
2008-10-12 09:02 . 2008-10-12 09:02 65,428 --a------ C:\WINDOWS\system32\wini104552663.exe
2008-10-12 08:59 . 2008-10-12 08:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izszmlgb
2008-10-12 08:59 . 2008-10-12 08:59 81,920 --a------ C:\WINDOWS\system32\uxabezqx.exe
2008-10-10 07:24 . 2008-10-11 07:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-10 07:24 . 2008-10-10 07:24 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-09 08:00 . 2008-10-09 17:15 <DIR> d-------- C:\Programme\DivX
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-08 21:32 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-07 16:13 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-09-30 04:39 . 2008-09-30 04:39 <DIR> d-------- C:\Programme\IrfanView
2008-09-23 23:08 . 2008-09-23 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Media Player Classic
2008-09-23 20:40 . 2008-09-23 20:40 <DIR> d-------- C:\Programme\Last.fm
2008-09-23 20:40 . 2008-09-23 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2008-09-16 02:12 . 2008-09-16 02:12 3,051 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-09-16 02:11 . 2008-09-16 02:11 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-12 02:59 . 2005-07-15 12:49 245,760 --a------ C:\WINDOWS\system32\aUpdateNow.ocx
2008-09-12 02:59 . 2004-03-08 18:00 132,880 --a------ C:\WINDOWS\system32\msinet.ocx
2008-09-12 02:51 . 2008-10-12 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-12 02:22 . 2008-09-26 22:04 <DIR> d-------- C:\Programme\FriendBlasterPro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 08:01 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\OpenOffice.org2
2008-10-12 08:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-12 07:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-12 07:03 17,809 ----a-w C:\Programme\Gemeinsame Dateien\yjovyva._sy
2008-10-08 20:01 --------- d-----w C:\Programme\MSN Messenger
2008-09-29 17:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-29 17:03 --------- d-----w C:\Programme\Paltalk Messenger
2008-09-29 17:03 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-29 17:03 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Paltalk
2008-09-23 21:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-09-09 17:11 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Malwarebytes
2008-09-09 17:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 00:21 --------- d-----w C:\Programme\Winamp
2008-09-08 21:14 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Winamp
2008-09-07 17:44 --------- d-----w C:\Programme\Softwin
2008-09-07 17:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Softwin
2008-09-07 16:15 --------- d-----w C:\Programme\Trend Micro
2008-09-07 12:06 --------- d-----w C:\Programme\Alwil Software
2006-12-21 17:39 0 ----a-w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\wklnhst.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"EPSON Stylus C60 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE" [2001-10-04 69632]
"srvaplapp"="C:\WINDOWS\system32\uxabezqx.exe" [2008-10-12 81920]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-11 7626752]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-11 86016]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-17 98304]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-08-04 36352]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-31 262184]
"nwiz"="nwiz.exe" [2006-07-11 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\copyRiot\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-10-09 15187]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-10-09 15571]
S3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [ ]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 402432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{647896f5-f4a4-11db-aae6-00192151c09b}]
\Shell\AutoRun\command - J:\setupSNK.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Mozilla\Firefox\Profiles\rbrdq78s.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE -
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 10:01:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.bin
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 10:04:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-12 08:04:35

Vor Suchlauf: 906.768.384 Bytes frei
Nach Suchlauf: 943,931,392 Bytes frei

218 --- E O F --- 2008-10-10 11:34:08




HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:00, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\WINDOWS\system32\uxabezqx.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\WINDOWS\system32\uxabezqx.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - HKCU\..\Run: [srvaplapp] C:\WINDOWS\system32\uxabezqx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {304171C0-65EA-4B51-B5D9-93A311E26EB1} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DD5199-DD8A-41FD-A1A6-43B30672F868}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7259 bytes





Bitte um Hilfe, was nun zu tun ist.
Vielen Dank schonmal im vorraus

Martin

Alt 12.10.2008, 17:05   #2
martin_w
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Könnte jemand hier bitte die Logfiles anschauen und sagen was ich jetzt tun sollte? Ist mein Rechner sauber?

Danke schon mal,

Martin
__________________
Alt 12.10.2008, 17:20   #3
raman
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Na, richtig sauber ist der Rechner nicht....

Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
Code:
ATTFilter
http://www.trojaner-board.de/61897-xp-antispyware-trojaner.html

collect::
C:\WINDOWS\system32\_scui.cpl
C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\bixoz.pif
C:\Programme\Gemeinsame Dateien\sedezez.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nyxula.com
C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\iqyny.scr
C:\Programme\Gemeinsame Dateien\syjanehola.bin
C:\WINDOWS\bejul.scr
C:\WINDOWS\ymyxuro.inf
C:\WINDOWS\ujazulafe.scr
C:\WINDOWS\system32\tesu.pif
C:\WINDOWS\ofydi.exe
C:\WINDOWS\system32\wini104552663.exe
C:\WINDOWS\system32\uxabezqx.exe
C:\Programme\Gemeinsame Dateien\yjovyva._sy

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izszmlgb

Regestry::
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{647896f5-f4a4-11db-aae6-00192151c09b}]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
__________________
Geändert von raman (12.10.2008 um 17:27 Uhr)

Alt 12.10.2008, 18:02   #4
martin_w
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Hallo raman,

Vielen Dank schonmal für die schnelle Antwort!


Hier das Combofix Logfile:

Code:
ATTFilter
ComboFix 08-10-11.02 - copyRiot 2008-10-12 18:36:42.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.630 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\copyRiot\Desktop\prüfung.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\copyRiot\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izszmlgb
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izszmlgb\gvqxstkf.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nyxula.com
C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\bixoz.pif
C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\iqyny.scr
C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Gemeinsame Dateien\sedezez.com
C:\Programme\Gemeinsame Dateien\syjanehola.bin
C:\Programme\Gemeinsame Dateien\yjovyva._sy
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\bejul.scr
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\ofydi.exe
C:\WINDOWS\system32\_scui.cpl
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\medup012.dll
C:\WINDOWS\system32\medup020.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\msvchost.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psof1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\regc64.dll
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\system32\ssurf022.dll
C:\WINDOWS\system32\ssvchost.com
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\tesu.pif
C:\WINDOWS\system32\thun.dll
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\uxabezqx.exe
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\vcatchpi.dll
C:\WINDOWS\system32\wini104552663.exe
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\ujazulafe.scr
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\winsystem.exe
C:\WINDOWS\ymyxuro.inf
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-12 bis 2008-10-12  ))))))))))))))))))))))))))))))
.

2008-10-12 09:59 . 2004-08-10 21:00	4,224	--a------	C:\WINDOWS\system32\drivers\beep.sys
2008-10-12 09:25 . 2008-10-12 09:25	<DIR>	d--------	C:\Programme\CCleaner
2008-10-10 07:24 . 2008-10-11 07:27	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-10 07:24 . 2008-10-10 07:24	1,409	--a------	C:\WINDOWS\QTFont.for
2008-10-09 08:00 . 2008-10-09 17:15	<DIR>	d--------	C:\Programme\DivX
2008-10-08 21:35 . 2008-10-08 21:35	<DIR>	d--------	C:\WINDOWS\system32\de
2008-10-08 21:35 . 2008-10-08 21:35	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-10-08 21:35 . 2008-10-08 21:35	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-10-08 21:32 . 2008-10-08 21:35	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-10-07 16:13 . 2004-08-03 22:41	1,041,536	---------	C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-09-30 04:39 . 2008-10-12 11:02	<DIR>	d--------	C:\Programme\IrfanView
2008-09-23 23:08 . 2008-09-23 23:08	<DIR>	d--------	C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Media Player Classic
2008-09-23 20:40 . 2008-09-23 20:40	<DIR>	d--------	C:\Programme\Last.fm
2008-09-23 20:40 . 2008-09-23 20:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2008-09-16 02:12 . 2008-09-16 02:12	3,051	--a------	C:\WINDOWS\system32\dtu_de.qm
2008-09-16 02:11 . 2008-09-16 02:11	161,096	--a------	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-12 02:51 . 2008-10-12 17:58	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-12 02:22 . 2008-10-12 11:04	<DIR>	d--------	C:\Programme\FriendBlasterPro

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 15:54	---------	d-----w	C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\OpenOffice.org2
2008-10-12 08:05	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-10-12 08:05	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-08 20:01	---------	d-----w	C:\Programme\MSN Messenger
2008-09-29 17:03	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-29 17:03	---------	d-----w	C:\Programme\Paltalk Messenger
2008-09-29 17:03	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-29 17:03	---------	d-----w	C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Paltalk
2008-09-23 21:06	---------	d-----w	C:\Programme\Gemeinsame Dateien\Real
2008-09-09 17:11	---------	d-----w	C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Malwarebytes
2008-09-09 17:11	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 00:21	---------	d-----w	C:\Programme\Winamp
2008-09-08 21:14	---------	d-----w	C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Winamp
2008-09-07 19:47	81,984	----a-w	C:\WINDOWS\system32\bdod.bin
2008-09-07 17:44	---------	d-----w	C:\Programme\Softwin
2008-09-07 17:44	---------	d-----w	C:\Programme\Gemeinsame Dateien\Softwin
2008-09-07 16:15	---------	d-----w	C:\Programme\Trend Micro
2008-09-07 12:06	---------	d-----w	C:\Programme\Alwil Software
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2006-12-21 17:39	0	----a-w	C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\wklnhst.dat
2006-05-03 10:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"EPSON Stylus C60 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE" [2001-10-04 69632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-11 7626752]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-11 86016]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-17 98304]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-08-04 36352]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-31 262184]
"XP Antispyware 2009"="C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" [BU]
"nwiz"="nwiz.exe" [2006-07-11 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\copyRiot\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-10-09 15187]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-10-09 15571]
S3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [ ]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 402432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{647896f5-f4a4-11db-aae6-00192151c09b}]
\Shell\AutoRun\command - J:\setupSNK.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-srvaplapp - C:\WINDOWS\system32\uxabezqx.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 18:38:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 18:38:54
ComboFix-quarantined-files.txt  2008-10-12 16:38:50
ComboFix2.txt  2008-10-12 08:04:41

Vor Suchlauf: 845.172.736 Bytes frei
Nach Suchlauf: 828,866,560 Bytes frei

227	--- E O F ---	2008-10-10 11:34:08

ComboFix-quarantined-files (QooBox)

Code:
ATTFilter
2004-08-10 19:00:00   4,224      C:\Qoobox\Quarantine\C\WINDOWS\system32\dllcache\beep.sys.vir
2004-08-10 19:00:00   4,224      C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\beep.sys.vir
2006-02-18 07:24:13   964,096    C:\Qoobox\Quarantine\C\WINDOWS\system32\sysdm.exe.vir
2006-12-21 23:07:56   86,070     C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\pthreadVC2.dll.vir
2007-12-26 19:04:08   522        C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest.vir
2007-12-26 19:04:10   479,232    C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll.vir
2007-12-26 19:04:10   548,864    C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll.vir
2007-12-26 19:04:10   626,688    C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll.vir
2008-02-10 23:54:26   1,085,343  C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\data\daily.cvd.vir
2008-08-12 21:04:42   137        C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\comp.dat.vir
2008-08-15 22:21:10   215,612    C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\AVEngn.dll.vir
2008-10-04 11:47:12   677,376    C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\htmlayout.dll.vir
2008-10-04 19:40:46   196,823    C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\wscui.cpl.vir
2008-10-04 19:40:46   196,823    C:\Qoobox\Quarantine\C\WINDOWS\system32\_scui.cpl.vir
2008-10-06 17:09:36   420,640    C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\XP_AntiSpyware.exe.vir
2008-10-12 06:58:15   32,768     C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\svchost.exe.vir
2008-10-12 06:59:42   81,920     C:\Qoobox\Quarantine\C\WINDOWS\system32\uxabezqx.exe.vir
2008-10-12 06:59:44   61,440     C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\izszmlgb\gvqxstkf.exe.vir
2008-10-12 07:01:03   10,240     C:\Qoobox\Quarantine\C\WINDOWS\brastk.exe.vir
2008-10-12 07:01:07   10,240     C:\Qoobox\Quarantine\C\WINDOWS\system32\brastk.exe.vir
2008-10-12 07:01:07   6,144      C:\Qoobox\Quarantine\C\WINDOWS\karna.dat.vir
2008-10-12 07:01:07   6,144      C:\Qoobox\Quarantine\C\WINDOWS\system32\karna.dat.vir
2008-10-12 07:02:50   65,428     C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\Uninstall.exe.vir
2008-10-12 07:02:50   65,428     C:\Qoobox\Quarantine\C\WINDOWS\system32\wini104552663.exe.vir
2008-10-12 07:03:23   1,555      C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk.vir
2008-10-12 07:03:23   1,568      C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk.vir
2008-10-12 07:03:48   13,684     C:\Qoobox\Quarantine\C\WINDOWS\ujazulafe.scr.vir
2008-10-12 07:03:48   15,048     C:\Qoobox\Quarantine\C\WINDOWS\ymyxuro.inf.vir
2008-10-12 07:03:49   10,456     C:\Qoobox\Quarantine\C\WINDOWS\ofydi.exe.vir
2008-10-12 07:03:49   10,749     C:\Qoobox\Quarantine\C\WINDOWS\system32\tesu.pif.vir
2008-10-12 07:03:49   14,977     C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\copyRiot\Cookies\olada.ban.vir
2008-10-12 07:03:49   16,235     C:\Qoobox\Quarantine\C\WINDOWS\bejul.scr.vir
2008-10-12 07:03:49   16,755     C:\Qoobox\Quarantine\C\Programme\Gemeinsame Dateien\syjanehola.bin.vir
2008-10-12 07:03:49   17,254     C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\copyRiot\Cookies\ezibyjik.com.vir
2008-10-12 07:03:49   17,809     C:\Qoobox\Quarantine\C\Programme\Gemeinsame Dateien\yjovyva._sy.vir
2008-10-12 07:03:49   18,547     C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\nyxula.com.vir
2008-10-12 07:03:49   19,171     C:\Qoobox\Quarantine\C\Programme\Gemeinsame Dateien\sedezez.com.vir
2008-10-12 07:03:50   16,593     C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\copyRiot\Cookies\uvexycocyx.dl.vir
2008-10-12 07:03:50   17,506     C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\iqyny.scr.vir
2008-10-12 07:03:50   19,285     C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\bixoz.pif.vir
2008-10-12 07:05:11   2,508      C:\Qoobox\Quarantine\C\Programme\XP_AntiSpyware\XP_Antispyware.cfg.vir
2008-10-12 07:59:16   1,220      C:\Qoobox\Quarantine\Registry_backups\Legacy_TDSSSERV.reg.dat
2008-10-12 07:59:16   1,268      C:\Qoobox\Quarantine\Registry_backups\Service_TDSSserv.reg.dat
2008-10-12 08:04:18   2          C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-10-12 08:04:18   2          C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-10-12 08:04:18   2          C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2008-10-12 08:04:20   125        C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-brastk.reg.dat
2008-10-12 08:04:20   165        C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-XP Antispyware 2009.reg.dat
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\Programme\akl\akl.dll.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\Programme\akl\akl.exe.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\Programme\akl\uninstall.exe.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\Programme\akl\unsetup.exe.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\mslagent\2_mslagent.dll.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\mslagent\mslagent.exe.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\mslagent\uninstall.exe.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\awtoolb.dll.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\bdn.com.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\mssecu.exe.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\sysreq.exe.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\vbsys2.dll.vir
2008-10-12 15:56:42   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\WINWGPX.EXE.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\Programme\Inet Delivery\inetdl.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\Programme\Inet Delivery\intdel.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\a.bat.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\base64.tmp.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\bdn.com.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\FVProtect.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\iTunesMusic.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\mssecu.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\akttzn.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\anticipator.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\bsva-egihsg52.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\dpcproxy.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\emesx.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\h@tkeysh@@k.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\hoproxy.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\hxiwlgpm.dat.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\hxiwlgpm.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\medup012.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\medup020.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\msgp.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\msnbho.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\msvchost.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\mtr2.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\mwin32.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\netode.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\newsd32.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\ps1.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\psof1.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\psoft1.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\regc64.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\regm64.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\Rundl1.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\smp\msrc.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\sncntr.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\ssurf022.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\ssvchost.com.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\ssvchost.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\taack.dat.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\taack.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\temp#01.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\thun.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\thun32.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\VBIEWER.OCX.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\vcatchpi.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogonpc.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\system32\winsystem.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\userconfig9x.dll.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\winsystem.exe.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\zip1.tmp.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\zip2.tmp.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\zip3.tmp.vir
2008-10-12 15:56:43   4,096      C:\Qoobox\Quarantine\C\WINDOWS\zipped.tmp.vir
2008-10-12 16:36:40   439,283    C:\Qoobox\Quarantine\[4]-Submit_2008-10-12@18.36.zip
2008-10-12 16:37:47   7,408      C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-10-12 16:37:56   108        C:\Qoobox\Quarantine\catchme.log
2008-10-12 16:38:43   130        C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-srvaplapp.reg.dat
zu Punkt 7:

Musste bei http://www.bleepingcomputer.com eine Datei hochladen. Leider konnte ich den Namen der Datei nicht schnell genug notieren.


Zitat:
Poste den neu erstellten Combofix Report
Weiß jetzt nicht genau, ob es sich nicht schon um das oben eingefügte ComboFix Logfile handelt. Nach einer Suche nach ComboFix Dateien wurden auch nur die zwei bereits in diesem Post eingefügten Files gefunden.

Alt 12.10.2008, 18:40   #5
raman
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Die Datei die du hochladen solltest, war diese:
C:\Qoobox\Quarantine\[4]-Submit_2008-10-12@18.36.zip

Das kannst du immer noch. Lade die Datei hier hoch:
http://www.bleepingcomputer.com/subm....php?channel=4

Als "Link to topic where this file was requested: " nimmst du

http://www.trojaner-board.de/61897-x...-trojaner.html
und als Browse to the file you want to submit: nimmst du

C:\Qoobox\Quarantine\[4]-Submit_2008-10-12@18.36.zip

Ob du noch einen Komentar einfuegen moechtest, liegt bei dir...

Erstelle bitte noch ein HijackThis Report

[Edit: Bitte den Report nicht in irgendwelche "Code" Boxen packen, da bekomm ich Augenkrebs von.... ]

__________________
MfG Ralf

Alt 12.10.2008, 18:53   #6
martin_w
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Bleeping Computer:

Zitat:
Your file was successfully submitted. Please let the user helping you know that you have submitted the file.
Hab alles gemacht wie beschrieben.


HijackThis Report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:52, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [XP Antispyware 2009] "C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {304171C0-65EA-4B51-B5D9-93A311E26EB1} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DD5199-DD8A-41FD-A1A6-43B30672F868}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7034 bytes




PS: Sorry fürs Logfiles in Code verschachteln. Dachte, das wäre evetuell übersichtlicher.

Alt 12.10.2008, 19:03   #7
raman
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


DAs mit den Codeboxen nervt(mich), da ich was sehen moechte und nicht Balken hin und hers schieben will...

BTW: Welches Laufwerk ist bei dir J:\ ? Da gibts irgendwo eine Datei setupSNK.exe, die nicht so ganz sauber zu sein scheint...
__________________
MfG Ralf

Alt 12.10.2008, 19:13   #8
martin_w
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Unter Arbeitsplatz seh ich nur

C:\
D:\
E:\
F:\
G:\
H:\
I:\

F: bis I: sind Wechseldatenträger

Auch bei Suche nach dieser "setupSNK.exe" Datei bin ich nicht fündig geworden. Sorry, dass ich mich so blöd anstell aber mit sowas musste ich mich bis jetzt noch nicht auseinandersetzen.

Alt 12.10.2008, 19:24   #9
raman
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


DAnn wird das wohl ein USB Stick sein, den du mal angeschlossen hast. Ist in Ordnung, nur sei vorsichtig, bei Sticks von "Fremden"...
__________________
MfG Ralf

Alt 12.10.2008, 19:29   #10
martin_w
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Danke für die Hilfe! Ist mein Rechner jetzt einigermaßen sauber?

Ohne die Hilfe von euch wäre ich vollens aufgeschmissen! Ich danke vielmals! Kann man sich irgendwie erkenntlich zeigen?


Gruß,
Martin

Alt 12.10.2008, 20:08   #11
raman
 
XP Antispyware Trojaner - Standard

XP Antispyware Trojaner


Sauber ist relativ.

nutze die mit Windows gelieferte Datenträgerbereinigung(alles anhaken außer alte Dateien komprimieren) und saeubere die Systemwiederherstellung über "weitere Optionen".
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Du kannst noch einige Kontrollscans mit Drweb CureIT machen und mit dem Onlinescan von f-secure:
http://support.f-secure.de/ger/home/ols.shtml

Hake bitte noch folgendes in HijackThis an und druecke fix checked:

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [XP Antispyware 2009] "C:\Programme\XP_AntiSpyware\XP_AntiSpyware.ex e" /hide
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {304171C0-65EA-4B51-B5D9-93A311E26EB1} -

Danach starte neu und loesche folgenden Ordner, sofern er noch vorhanden ist:
C:\Programme\XP_AntiSpyware

Falls die Virenscanner noch etwas melden sollten, melde dich mit den entsprechenden Reporten zurueck
__________________
MfG Ralf

Antwort

Themen zu XP Antispyware Trojaner
adobe, antivir, autorun, avg, avgnt, avgnt.exe, avira, browser, combofix, ctfmon.exe, desktop, einstellungen, firefox, firefox.exe, hkus\s-1-5-18, installation, internet, internet explorer, jusched.exe, laufende prozesse, monitor, mozilla, object, pop-up-blocker, rthdcpl.exe, rundll, scan, suchlauf, system, trojane, trojaner, trojaner eingefangen, urlsearchhook, usb, windows, windows xp, windows xp sp3, windows\system32\drivers, wireless lan, wlan, xp antispyware, xp sp3


« Mit Micro Antivirus 2009 befallen. Was soll ich jetzt un? | Absturz durch skype »


Ähnliche Themen: XP Antispyware Trojaner


  1. XP Antispyware 2012
    Plagegeister aller Art und deren Bekämpfung - 31.01.2012 (44)
  2. win 7 antispyware 2011
    Plagegeister aller Art und deren Bekämpfung - 21.08.2011 (8)
  3. Antispyware Soft - Trojaner und Probleme mit dem IE
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (17)
  4. Antispyware Soft
    Log-Analyse und Auswertung - 21.05.2010 (7)
  5. Antispyware soft
    Log-Analyse und Auswertung - 11.05.2010 (7)
  6. was tun bei „Antispyware soft“
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (7)
  7. Antispyware XP meldet Fake Trojaner? u.a. Trojan-BNK.Win32.keylogger.gen
    Plagegeister aller Art und deren Bekämpfung - 22.03.2010 (9)
  8. XP Antispyware 2009
    Log-Analyse und Auswertung - 02.11.2008 (4)
  9. xp antispyware 2009
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (27)
  10. antispyware etc. HILFE!!!
    Mülltonne - 27.10.2008 (0)
  11. XP Antispyware
    Plagegeister aller Art und deren Bekämpfung - 13.10.2008 (10)
  12. xp antispyware 2009 Trojaner bitte um hilfe!
    Plagegeister aller Art und deren Bekämpfung - 11.10.2008 (0)
  13. antispyware 2008
    Mülltonne - 10.10.2008 (0)
  14. antispyware virus
    Log-Analyse und Auswertung - 24.09.2008 (4)
  15. Microsoft Antispyware
    Antiviren-, Firewall- und andere Schutzprogramme - 24.04.2005 (18)
  16. Antispyware
    Log-Analyse und Auswertung - 04.03.2005 (3)
  17. Antispyware
    Antiviren-, Firewall- und andere Schutzprogramme - 08.01.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema XP Antispyware Trojaner - Hi, hab mir auch diesen XP Antispayware Trojaner eingefangen und durch die Hilfe in anderen Beiträgen zu diesem Thema mit CCleaner und Combofix alles genau nach Anweisung abgearbeitet. Hier nun - XP Antispyware Trojaner...
Archiv
Du betrachtest: XP Antispyware Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131