XP antispy - trojaner ?!?! -

kassenfuzzi · 13.10.2008, 20:58

Hallo,

auch ich reihe mich in die reihe deren ein, die das tolle rote kreuz in der taskleiste haben und "xp - antispy" installieren sollen ... hab den CCleaner bereits ausgeführt und für kurze zeit war das kreuz auch wieder weg - aber es kam wieder ... ich stell deshalb mein combofix datei mal ein - hab gelesen ihr konntet bereits mehreren damit helfen ... ICH HOFFE AUCH MIR !!!! ...

bedank mich schonmal recht artig

ComboFix 08-10-12.01 - Chef 2008-10-13 21:28:00.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.241 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Chef\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\XP_AntiSpyware
C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk
C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk
C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\Programme\inetget2
C:\Programme\ipwindows
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\data\daily.cvd
C:\Programme\XP_AntiSpyware\htmlayout.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
C:\Programme\XP_AntiSpyware\pthreadVC2.dll
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\medup012.dll
C:\WINDOWS\system32\medup020.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\msvchost.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psof1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\regc64.dll
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\system32\ssurf022.dll
C:\WINDOWS\system32\ssvchost.com
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\thun.dll
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\vcatchpi.dll
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\winsystem.exe
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-13 21:04 . 2008-10-13 21:04 <DIR> d-------- C:\Programme\CCleaner
2008-10-13 19:33 . 2008-10-13 20:36 65,428 --a------ C:\WINDOWS\system32\wini104552663.exe
2008-10-13 19:29 . 2008-10-13 19:29 <DIR> d-------- C:\Programme\qsgjurf
2008-10-13 19:29 . 2008-10-13 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\utqbmzqr
2008-10-13 19:29 . 2008-10-13 19:29 77,824 --a------ C:\WINDOWS\system32\ytoxmngx.exe
2008-09-29 17:58 . 2008-09-29 17:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-29 17:58 . 2008-09-29 17:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2008-09-27 11:07 . 2008-09-27 11:07 <DIR> d-------- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\dvdcss
2008-09-21 22:55 . 2008-10-13 21:15 836 --a------ C:\WINDOWS\bthservsdp.dat
2008-09-18 19:29 . 2008-09-18 19:29 <DIR> d-------- C:\Programme\PC Connectivity Solution
2008-09-18 19:29 . 2007-09-17 15:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys
2008-09-18 19:22 . 2008-09-18 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-09-18 19:19 . 2008-09-18 19:19 <DIR> d-------- C:\Programme\DIFX
2008-09-18 19:18 . 2008-09-18 19:18 <DIR> d-------- C:\Programme\Nokia
2008-09-18 19:18 . 2008-05-07 07:38 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-09-18 19:16 . 2008-09-18 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 09:31 . 2008-09-13 09:31 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-13 09:31 . 2008-09-13 09:31 <DIR> d-------- C:\WINDOWS\l2schemas

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 17:31 5,168 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-13 17:31 3,320 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-13 17:31 264,224 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-13 17:31 13,088 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-10 21:10 --------- d-----w C:\Programme\Opera
2008-09-10 20:02 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\ScreeNet iSaver
2008-09-07 18:31 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-09-07 18:30 --------- d-----w C:\Programme\AGEIA Technologies
2008-09-07 18:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-16 14:38 203,264 ----a-w C:\WINDOWS\system32\tdk-screensaver-d02.scr
2008-07-27 20:15 102,033 ----a-w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\mdbu.bin
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-06-13 20:00 32,040 ----a-w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 401491]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-24 68856]
"YahooWidgetEngine.exe"="C:\Programme\Transform XP to Vista\Yahoo! Widgets\Widgets\YahooWidgetEngine.exe" [2007-07-20 2913584]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"aplsetproc"="C:\WINDOWS\system32\ytoxmngx.exe" [2008-10-13 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-23 335872]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2002-11-15 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 561152]
"AcerNotebookManager"="C:\Programme\Acer\Notebook Manager\almxptray.exe" [2003-02-16 504832]
"LManager"="C:\Programme\Launch Manager\QtZgAcer.EXE" [2003-04-14 303104]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2003-01-21 40960]
"mmtask"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2006-01-17 53248]
"ZCfgSvc.exe"="C:\WINDOWS\system32\ZCfgSvc.exe" [2004-07-28 409664]
"PRONoMgr.exe"="C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe" [2004-05-26 86016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2002-10-18 C:\WINDOWS\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-03-27 C:\WINDOWS\SOUNDMAN.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ws3eMG1Iqd"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\utqbmzqr\anmnutup.exe" [2008-10-13 61440]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-02-24 125624]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ComMntWin"= {1F21957C-4D5A-3B5A-80A3-090AF0D9C993} - C:\Programme\qsgjurf\ComMntWin.dll [2008-10-13 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2004-07-28 07:53 180290 C:\WINDOWS\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"VIDC.IV41"= ir41_32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\WINDOWS\\System32\\fxsclnt.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\MSMSGS.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\webcamXP\\webcamXP.exe"=
"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 d344bus;d344bus;C:\WINDOWS\system32\DRIVERS\d344bus.sys [2003-12-27 137216]
R0 d344prt;d344prt;C:\WINDOWS\system32\Drivers\d344prt.sys [2003-12-27 5248]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2006-10-02 34816]
R2 acernbm;acernbm;C:\WINDOWS\system32\drivers\acernbm.sys [2003-01-13 6538]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 59520]
R2 ipasintf;ipasintf;C:\WINDOWS\System32\drivers\pas2k.sys [2000-10-03 78280]
R3 AVMBTSERIAL;AVM Bluetooth Serial Port;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2003-01-16 51762]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2003-01-16 38608]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2002-12-13 227887]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 24344]
R3 mbxfilt;mbxfilt;C:\WINDOWS\system32\drivers\MbxFilt.sys [2002-12-09 5441]
S2 PSecret;PSecret;C:\WINDOWS\srvany.exe [ ]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Chef\LOKALE~1\Temp\bDMusicb.sys [ ]
S3 BFUBASE;BlueFRITZ! USB (WinXP/2000);C:\WINDOWS\system32\DRIVERS\bfubase.sys [2003-01-16 1032092]
S3 iComp;Hauppauge WinTV PVR USB2 Encoder;C:\WINDOWS\system32\DRIVERS\HCWUSB2.sys [2003-12-18 1134304]
S3 LEX_AS_NIC_SERVICE;LAN-Express IEEE 802.11a/b Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\Expsab2.sys [2002-12-10 218240]
S3 NETBFPAN;AVM Bluetooth PAN Adapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2003-01-16 33862]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [ ]
S3 SaiNtHid;%SAINTHID_NAME%;C:\WINDOWS\system32\DRIVERS\SaiNtHid.sys [2003-04-10 48384]
S3 SaiNtSub;SaiNtSub;C:\WINDOWS\system32\DRIVERS\SaiNtSub.sys [2003-04-10 19200]
S3 ZSMC302;Audio Web Cam 31;C:\WINDOWS\system32\Drivers\usbvm302.sys [2004-03-22 90559]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-13 C:\WINDOWS\Tasks\{303BC3DE-A27F-4B8C-999F-F3E73FCB4F9D}_JCBMOBIL_Chef.job
- C:\WINDOWS\system32\mobsync.exe [2008-04-14 04:22]

2008-10-13 C:\WINDOWS\Tasks\{FDF09C23-CD5D-4013-AF24-3E8BD3AEC503}_JCBMOBIL_Chef.job
- C:\WINDOWS\system32\mobsync.exe [2008-04-14 04:22]

2008-10-03 C:\WINDOWS\Tasks\{DCCD5672-B68D-4873-8032-2632F5BF005C}_JCBMOBIL_Chef.job
- C:\WINDOWS\system32\mobsync.exe [2008-04-14 04:22]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_Antispyware\XP_AntiSpyware.exe
HKLM-Run-UniKey - (no file)
HKLM-RunServices-360SCProgram - (no file)
Notify-efcccbb - efcccbb.dll

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Mozilla\Firefox\Profiles\pho2fkt4.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.sparkasse-magdeburg.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 21:32:55
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
"ImagePath"="\"C:\Programme\
[verify-U] AVS\[verify-U]-Service.exe\""

"ImagePath"="system32\drivers\
[verify-U]-driver.sys"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\[verify-U]]
"ImagePath"="\"C:\Programme\

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\[verify-U]_System]
"ImagePath"="system32\drivers\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\gina.dll
.
Zeit der Fertigstellung: 2008-10-13 21:33:34
ComboFix-quarantined-files.txt 2008-10-13 19:33:30

Vor Suchlauf: 3.944.939.520 Bytes frei
Nach Suchlauf: 7,322,501,120 Bytes frei

294 --- E O F --- 2008-09-14 16:58:24

cosinus · 16.10.2008, 12:12

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Chris4You · 16.10.2008, 12:43

@root24
Hi,

da liegt ein Crossposting vor (habe ich leider erst jetzt bemerkt!):
http://www.trojaner-board.de/62012-xp-antispyware-2009-a.html

(Das ist der Teil der mit gefehlt hat... combofix...)...

chris

XP antispy - trojaner ?!?! -

Plagegeister aller Art und deren Bekämpfung: XP antispy - trojaner ?!?! -