Hallo an alle!

Ich habe vor kurzem meinen Logfile zur Auswertung auf trojaner-board gestellt. Mir wurde dann gesagt, dass mein System u. a. kompromittiert ist. Da klingelten nach einer Googlesuche alle Alarmglocken bei mir, verständlicherweise. Wegen Crackern, etc. Aber ich las auch, dass eine Kompromittierung auch eine Manipulation der System-Einstellungen sein kann.(ich habe nur leider keine Quellenangaben, finde die Seite nicht wieder...)

Und jetzt interessiert mich halt, ob diese System-Einstellungen, also die Kompromittierung, durch mich selbst entstanden sein könnte, denn ich habe im BIOS und in der Registry nach Anleitung und auf eigene Gefahr hin vor ner Weile ein paar Dinge geändert, um meinen PC ein bisschen anzuschubsen...Oder ist das wieder was ganz anderes? Das muss ich echt wissen, denn gegen ne Kompromittierung hilft ja nur Neuaufsetzen! Und da ist das Problem, das ich kein Windows hierhab und mir das dann besorgen müsste.

Und wenn man das nicht genau sagen kann, ob die Kompromittierung durch mich oder einen unauthorisierten Benutzer entstanden ist, gibt es da ne Möglichkeit, das zu testen?

Hier jetzt nochmal mein Logfile mit allen Daten, ohne persönliche Infos und Links:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:01:31, on 07.12.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int50487.exe -auto
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\*\Desktop\msconfig.exe /auto
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg

--
End of file - 4417 bytes

Ich hoffe, jemand kann meine Fragen beantworten. Denn ich weiss das alles nicht.

LG Helena

Hallo,

Ja, Dein System sieht kompromittiert aus:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [websx] C:\Programme\websx\int50487.exe -auto
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
         

Stammt wohl von Netzwerkwürmern - passiert, wenn man nicht vernünftig absichert.

Zitat:

Das muss ich echt wissen, denn gegen ne Kompromittierung hilft ja nur Neuaufsetzen! Und da ist das Problem, das ich kein Windows hierhab und mir das dann besorgen müsste.

So ist es, dann muss man formatieren, aber warum ist keine Windows-CD da? Wie kam das Windows auf dem Rechner rauf?

Naja, das ist ein "Familienpc". Ich denke, der ist fertig installiert gekauft worden und dann wurd die Sicherungscd verschludert....

Aber ich las halt, das eine Kompromittierung durch Hacker, oder sorry, eher Cracker erstellt wurde, so ist das doch, oder? Wegen Einstellungsmanipulierung und so.... Deshalb kam die Frage, ob ich es vielleicht kompromittiert hab....

Also, vielleicht hab ich irgendwas nicht so richtig verstanden, obwohl ich Stundenlang alles gegoogelt habe. Also, sorry, wenn das was ich hier schreibe total doof ist, aber ich habe noch nicht viel Erfahrung gesammelt.

Zitat:

Zitat von Helena1

Aber ich las halt, das eine Kompromittierung durch Hacker, oder sorry, eher Cracker erstellt wurde, so ist das doch, oder? Wegen Einstellungsmanipulierung und so.... Deshalb kam die Frage, ob ich es vielleicht kompromittiert hab....

Das sieht bei Deinem Logfile nicht danach aus, dass ein Cracker gezielt Dein System angegriffen hat. Eher, wie ich schon schrieb, siehts nach Netzwerkwürmern aus. Das ist Massenware, die Netzwerkwürmer verbreiten sich auch recht rapide, aber eben nur auf ungepatchten Windows-Systemen. Kann aber auch sein, dass jmd. da irgendein Shice angeklickt hat Hast Du den verlinkten Artikel zu den Netzwerkwürmern nicht gelesen?

Jedenfalls wäre wohl bei Dir ein Formatieren angesagt. Bis Du eine Windows-CD hast, könnten wir aber (aufwändig!!) bereinigen, acker dazu diese Punkte ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\websx\int50487.exe
         

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ok, ich gebe mir Mühe. Fange sofort an, aber wird wohl ein Weilchen dauern....

[CODE]1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\websx\int50487.exe
         

Hmmm, ich habe die Anweisungen auf der Freenet-Seite befolgt, trotzdem finde ich in der Suche "C:\Programme\websx\int50487.exe" nicht. (Hab auch selbst mal alles abgesucht...)
Ich habe dann noch nach dem Thema "versteckte Dateien und Systeme" gegoogelt und noch andere Seiten zu diesem Thema gelesen. Habe sogar die Hilfe der Windowssuchfunktion gelesen, aber auch da finde ich nichts...
Ich komme einfach nicht weiter, kann mir jemand einen Tipp geben? Ist der Netzwerkwurm so schwer versteckt?
Wurm

Vllt gibs die Datei auch nicht mehr. Überspring diesen Punkt einfach.

So, die ersten Schritte sind getan:

Zitat:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\Programme\websx\int50487.exe

Wie schon gepostet, hat das leider nicht funktioniert. Ich hoffe, die weiteren Angaben sind deshalb nicht unnütz?!?

Zitat:

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

Stealth MBR rootkit detector 0.2.4 by Gmer, h*tp://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Zitat:

3.) Blacklight

Hidden Items found: 0
Items queued for renaming:0

Zitat:

und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

Hier jetzt wohl mein Problem:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1474
Windows 5.0.2195 Service Pack 4

08.12.2008 10:58:54
mbam-log-2008-12-08 (10-58-54).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 59740
Laufzeit: 32 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\websx (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Trojan.Agent
Date spotted:
First seen on 2008-01-15.
Last seen on 2008-12-08.

Detection statistics:
This object is 8.64% of all objects detected.
37,546,785 instances detected worldwide.s:
(Hab ich noch dazu gefunden)

Und Schritt 4, ist der jetzt noch notwendig?

Wenn nicht, bestätige mir dann noch mal, ob ich den nächsten Schritt (5)wirklich ausführen sollte! Es reizt mich zwar schon, denn ich liebe das Risiko, aber vielleicht gibts ja doch eine andere Möglichkeit, den wegzubekommen.

Ach und danke für den Fragenstellerlink! Find ich super, dass es das gibt.

Das Editieren ist mir wohl nicht so recht gestattet, weshalb ich jetzt eine neue Antwort erstelle.

Ich möchte zu meiner Anmerkung

Zitat:

Und Schritt 4, ist der jetzt noch notwendig?

noch hinzufügen, dass ich mir unsicher bin, diesen Schritt noch auszuführen, da

Zitat:

C:\Programme\websx\int50487.exe

ja bereits durch Malwarebytes gefunden worden ist.

Bitter acker einfach die Liste ab! Wenn etwa nicht notwendig gewesen wäre, hätte ich das als Eventualität auch schon dann erwähnt!

Ja, auch wenn Du "Angst" vor Combofix hast, führ es bitte gemäß den Anweisungen aus!

Alles klar, dann hier erstmal silentrunner

Zitat:

"Silent Runners.vbs", revision 59, h*tp://w*w.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"microsft Updates" = "msupdate32.exe" [file not found]
"LXSUPMON" = "C:\WINNT\system32\LXSUPMON.EXE RUN" ["Lexmark International Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"MSConfig" = "C:\Dokumente und Einstellungen\egal\Desktop\msconfig.exe /auto" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {HKLM...CLSID} = "Microsoft Office Binder Unbind"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\egal\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\tvtotal.scr" [null data]


Startup items in "egal" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart
"ISDN Guard" -> shortcut to: "C:\Programme\AGFEO\ISDN Guard\agfguard.exe" [" "]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"TK-Suite Client" -> shortcut to: "C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe -s" ["AGFEO"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
SmartLinkService, SLService, "slserv.exe" [" "]


Accessibility Tools:
--------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Narrator\
"Application Path" = (empty string) [file not found]
"Display Name" = "Narrator"
"Start with Utility Manager" = dword:0x00000001


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


---------- (launch time: 2008-12-08 19:02:22)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 136 seconds, including 18 seconds for message boxes)

So hier jetzt die combofix.txt:

Zitat:

ComboFix 08-12-07.01 - egal 08.12.2008 20:44:51.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.12 [GMT 1:00]
Running from: c:\dokumente und einstellungen\egal\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\system32\mdm.exe
c:\winnt\Web\default.htt
c:\winnt\winhelp.ini

.
((((((((((((((((((((((((( Files Created from 2008-11-08 to 2008-12-08 )))))))))))))))))))))))))))))))
.

2008-12-08 20:19 . 08.12.08 20:19 <DIR> d-------- c:\programme\CCleaner
2008-12-08 19:02 . 08.12.08 20:43 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_29c.dat
2008-12-08 08:58 . 08.12.08 08:58 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-08 08:58 . 08.12.08 08:58 <DIR> d-------- c:\dokumente und einstellungen\egal\Anwendungsdaten\Malwarebytes
2008-12-08 08:58 . 08.12.08 08:58 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes
2008-12-08 08:58 . 03.12.08 19:52 38,496 --a------ c:\winnt\system32\drivers\mbamswissarmy.sys
2008-12-08 08:58 . 03.12.08 19:52 15,504 --a------ c:\winnt\system32\drivers\mbam.sys
2008-12-04 23:42 . 04.12.08 23:42 <DIR> d-------- c:\programme\Trend Micro
2008-12-04 20:17 . 04.12.08 20:17 <DIR> d-------- c:\dokumente und einstellungen\egal\Anwendungsdaten\ICQ
2008-12-04 01:57 . 04.12.08 20:17 <DIR> d-------- c:\dokumente und einstellungen\egal\Anwendungsdaten\ICQLite
2008-12-03 22:38 . 03.12.08 22:38 <DIR> d-------- c:\programme\Avira
2008-12-03 22:38 . 03.12.08 22:38 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Avira
2008-12-02 19:52 . 27.05.93 16:02 182,773 --a------ c:\winnt\system32\AAPLAY.DLL
2008-12-02 19:52 . 29.06.92 13:47 16,912 --a------ c:\winnt\system32\MCIAAP.DRV
2008-12-02 19:52 . 29.06.92 15:33 13,840 --a------ c:\winnt\system32\AAVGA.DLL
2008-12-02 19:50 . 03.12.08 20:14 <DIR> d-------- c:\winnt\cualern
2008-12-02 19:50 . 02.12.08 19:50 <DIR> d-------- c:\winnt\asym
2008-12-02 19:50 . 03.12.08 20:14 48 --a------ c:\winnt\asym.ini
2008-12-01 09:18 . 01.12.08 09:18 <DIR> d-------- c:\winnt\system32\BITS
2008-12-01 07:54 . 01.12.08 07:55 8,856,198 --a------ c:\winnt\tvtotal.exe
2008-12-01 07:54 . 01.12.08 07:55 45,056 --a------ c:\winnt\tvtotal.scr
2008-12-01 07:26 . 04.06.04 23:11 438,272 --------- c:\winnt\system32\xpob2res.dll
2008-12-01 07:26 . 05.10.04 18:43 360,960 -----c--- c:\winnt\system32\dllcache\qmgr.dll
2008-12-01 07:26 . 11.10.04 08:04 331,776 --a------ c:\winnt\system32\winhttp.dll
2008-12-01 07:26 . 11.10.04 08:04 331,776 -----c--- c:\winnt\system32\dllcache\winhttp.dll
2008-12-01 07:26 . 05.10.04 18:43 17,408 --a------ c:\winnt\system32\qmgrprxy.dll
2008-12-01 07:26 . 05.10.04 18:43 17,408 -----c--- c:\winnt\system32\dllcache\qmgrprxy.dll
2008-12-01 07:26 . 05.10.04 18:43 7,680 -----c--- c:\winnt\system32\dllcache\bitsprx2.dll
2008-12-01 07:26 . 05.10.04 18:43 7,680 --------- c:\winnt\system32\bitsprx2.dll
2008-12-01 07:26 . 05.10.04 18:43 7,168 -----c--- c:\winnt\system32\dllcache\bitsprx3.dll
2008-12-01 07:26 . 05.10.04 18:43 7,168 --------- c:\winnt\system32\bitsprx3.dll
2008-12-01 05:54 . 01.12.08 05:54 <DIR> d-------- c:\programme\Zone Labs
2008-12-01 02:54 . 20.04.01 15:33 68,608 --a------ c:\winnt\system32\logagent.exe
2008-12-01 02:54 . 20.04.01 15:33 28,160 --a------ c:\winnt\system32\laprxy.dll
2008-12-01 02:23 . 01.12.08 02:51 <DIR> d-------- c:\winnt\Windows Update Setup-Dateien
2008-12-01 02:23 . 01.12.08 02:54 <DIR> d--h----- c:\winnt\msdownld.tmp
2008-12-01 02:22 . 01.12.08 02:22 496,888 --a------ C:\wichtiges setup f�r reibungsloses internet.exe
2008-12-01 01:50 . 16.10.08 14:08 31,768 --a------ c:\winnt\system32\wucltui.dll.mui
2008-12-01 01:50 . 16.10.08 14:08 27,672 --a------ c:\winnt\system32\wuaucpl.cpl.mui
2008-12-01 01:50 . 16.10.08 14:08 27,672 --a------ c:\winnt\system32\wuapi.dll.mui
2008-12-01 01:50 . 16.10.08 14:07 18,968 --a------ c:\winnt\system32\wuaueng.dll.mui

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 20:35 --------- d---a-w c:\programme\ICQLite
2008-12-01 02:04 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-01 01:22 496,888 ----a-w C:\wichtiges setup für reibungsloses internet.exe
2008-10-17 17:10 --------- d-----w c:\programme\ICQToolbar
2008-10-16 13:13 1,809,944 ----a-w c:\winnt\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\winnt\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\winnt\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\winnt\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\winnt\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\winnt\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\winnt\system32\wups.dll
2008-10-14 13:28 --------- d-----w c:\programme\Java
2008-10-14 12:51 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2004-04-12 16:50 271 ---h--w c:\programme\desktop.ini
2004-04-12 16:50 22,080 ---h--w c:\programme\folder.htt
1999-12-10 11:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXSUPMON"="c:\winnt\system32\LXSUPMON.EXE" [28.01.02 13:48 885760]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.08 03:27 144784]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.06.08 14:28 266497]
"ICQ Lite"="c:\programme\ICQLite\ICQLite.exe" [29.09.03 13:58 1713755]
"MSConfig"="c:\dokumente und einstellungen\egal\Desktop\msconfig.exe" [28.06.01 09:33 144896]
"Synchronization Manager"="mobsync.exe" [19.06.03 20:05 112400 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 20:05 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LexBceS"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)


*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-microsft Updates - msupdate32.exe
HKLM-RunServices-microsft Updates - msupdate32.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://google.icq.com
uSearch Bar = hxxp://google.icq.com/search/search_frame.php
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: %SystemRoot%\system32\msafd.dll

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\egal\Anwendungsdaten\Mozilla\Firefox\Profiles\1rmc6l5i.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - c:\programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 20:50:01
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(188)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
Completion time: 08.12.2008 20:54:39
ComboFix-quarantined-files.txt 2008-12-08 19:54:26

Pre-Run: 5.798.982.656 Bytes frei
Post-Run: 5,958,284,288 Bytes frei

138 --- E O F --- 2008-12-01 08:20:24

filelisting folgt in Kürze!!

Achja, ich vergas zu schreiben, dass ich den Pc nach Ausführen des Combofix neu starten musste.

Und hier nun der Link zum filelisting (ich hoffe, das ist alles richtig so...):

Zitat:

http://www.file-upload.net/download-1304885/folder.htt.html

(Ich hätte ja auch schon mal vorher alles verlinken können...)

Und als letztes kommt gleich mein neuer Hijackthis - Logfile.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:37, on 08.12.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\egal\Desktop\msconfig.exe /auto
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.130 212.6.108.131
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg

--
End of file - 4480 bytes

Der Weg war schwer, aber ich hab viel gelernt und es hat auch super Spass gemacht! Bin gespannt, was der HijackThis jetzt sagt.

Trojaner.Agent

Die Logfiles sehen wieder erstaunlich sauber aus.
Grund für Entwarnung aber nicht, denn die Netzwerkwürmer waren bei Dir definitiv aktiv. Aber ich hab ja auch angekündigt, dass es besser ist, ein bereinigtes System zu haben und wenn dann die Windows-CD zur Hand ist, dann es neu aufzusetzen.

Zitat:

Und hier nun der Link zum filelisting (ich hoffe, das ist alles richtig so...):
http://www.file-upload.net/download-1304885/folder.htt.html

Das ist leider falsch, Dir ist da ein Fehler unterlaufen. Mit der Datei folder.htt kann ich nichts anfangen, ich brauche die listing.txt!

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Internet Explorer\IEXPLORE.EXE
         

Den solltest Du auf keinen Fall mehr weiterverwenden, viel zu unsicher, lässt sich unter Windows 2000 auch nicht mehr auf die sicherere Version 7 updaten, M$ will das wohl nicht.
Nimm besser Firefox oder Opera in stets aktuellen versionen.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Adobe\Acrobat 6.0\Reader
C:\Programme\Java\jre1.6.0_07
         

Nochmal muss ich darauf hinweisen: Das sind uralte Programmversionen!
Wenn Du zukünftig vor Befall verschont bleiben willst, musst Du regelmäßig alle Updates für Programme und Windows einspielen!

Ganz fertig sind wir aber noch nicht:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

Dirlook::
c:\winnt\cualern
c:\winnt\asym

Collect::
c:\winnt\asym.ini

File::
c:\winnt\tvtotal.exe
c:\winnt\tvtotal.scr
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!