Moin und hallo

Ich habe ein Problem mit meinem Pc. Das Teil ist anscheinend voll mit Viren und Trojanern.
Formatiert habe ich, aber jetzt besteht das selbe Problem wieder. Das einzigst positive ist, dass der Pc schneller als vor dem formatieren läuft.
Anti-Vir zeigt alle paar Sekunden einen Fund an (meistens Trojaner).

Es öffnen sich regelmäßig irgendwelche Internetseiten .

hier ist das HJT-Logfile :

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17:31, on 09.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkLDTjK.dll (file missing)
O2 - BHO: (no name) - {792acf08-f3d7-443d-8aad-436858b39f33} - C:\WINDOWS\system32\jogevoma.dll
O2 - BHO: {9722ecb7-2c3d-048b-15b4-a64cf49c0fb9} - {9bf0c94f-c46a-4b51-b840-d3c27bce2279} - C:\WINDOWS\system32\kuunmv.dll (file missing)
O2 - BHO: (no name) - {F7BCD803-9F5D-42E5-A16D-5839FD0F9C2F} - C:\WINDOWS\system32\iiffCUNG.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [vimepidoza] Rundll32.exe "C:\WINDOWS\system32\datosuje.dll",s
O4 - HKLM\..\Run: [CPM1b766fde] Rundll32.exe "c:\windows\system32\fedalajo.dll",a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\Twain\Twain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [vimepidoza] Rundll32.exe "C:\WINDOWS\system32\datosuje.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: kuunmv.dll c:\windows\system32\wimavapa.dll C:\WINDOWS\system32\biniyogi.dll c:\windows\system32\fedalajo.dll
O20 - Winlogon Notify: jkkLDTjK - jkkLDTjK.dll (file missing)
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fedalajo.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fedalajo.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 6075 bytes

Vieleicht kann mir ja hier jemand sagen, ob noch irgendetwas zu retten ist.
Danke im vorraus !

Das_Lusches

Hallo und

Zitat:

Das Teil ist anscheinend voll mit Viren und Trojanern

Ja.

1.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):

Code: Alles auswählenAufklappen

ATTFilter

Java (völlig veraltet)
         

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\jogevoma.dll
C:\WINDOWS\system32\datosuje.dll
c:\windows\system32\fedalajo.dll
C:\WINDOWS\system32\prunnet.exe
C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\gadcom\gadcom.exe
C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\Twain\Twain.exe
C:\WINDOWS\system32\datosuje.dll
C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
C:\WINDOWS\system32\kuunmv.dll
c:\windows\system32\wimavapa.dll
C:\WINDOWS\system32\biniyogi.dll
c:\windows\system32\fedalajo.dll
         

Sollte sich eine Datei nicht finden lassen, dann überspringe sie und mache weiter mit der Liste.

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

6.) Mache ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Danke andreas...

http://www.virustotal.com/de/analisis/d65d2e072b382313969478a4f7dbbb38
http://www.virustotal.com/de/analisis/5bf4208c771a1c04b929e2454c18b429
http://www.virustotal.com/de/analisis/8928e396f3e167c5cdbc8f490da31cff
http://www.virustotal.com/de/analisis/5bf4208c771a1c04b929e2454c18b429

der Rest (ab Punkt 4) folgt bald...

weiter gehts :

Zitat:

Durchsucte Objekte: 89.917
Infizierte Objekte: 61
Dauer: 26 Min

Hier das mbam-log (dieses mal sogar mit Code-tags ):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 5.1.2600 Service Pack 3

10.01.2009 14:42:41
mbam-log-2009-01-10 (14-42-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 89917
Laufzeit: 26 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 32
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 3
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\seyayewi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nitesani.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vuvimuwe.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\duyovaha.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zikedama.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{792acf08-f3d7-443d-8aad-436858b39f33} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{792acf08-f3d7-443d-8aad-436858b39f33} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{792acf08-f3d7-443d-8aad-436858b39f33} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\testcpv6.bho (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\testcpv6.bho.1 (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{ff46f4ab-a85f-487e-b399-3f191ac0fe23} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vimepidoza (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm1b766fde (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\nitesani.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\nitesani.dll  -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\nitesani.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\zikedama.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\zikedama.dll -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\Webtools (Trojan.Agent) -> No action taken.
C:\Programme\Mjcore (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\TopMänner\Anwendungsdaten\gadcom (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\fofugapi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ipagufof.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\seyayewi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\iweyayes.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vuvimuwe.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\zikedama.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\duyovaha.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nitesani.dll (Trojan.Vundo.H) -> No action taken.
C:\Programme\Mjcore\Mjcore.dll (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\TopMänner\Lokale Einstellungen\Temp\srff.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\logibeja.dll (Trojan.Vundo.H) -> No action taken.
         

5 Dateien konnten im system32 Ordner nicht mit dem programm entfernt werden.

Hier ist der Rest:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-01-10.03 - TopMänner 2009-01-11 12:34:47.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1022.713 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\arasaniw.ini
c:\windows\system32\ayeguhuv.ini
c:\windows\system32\bjefwtab.ini
c:\windows\system32\bpipdwck.ini
c:\windows\system32\chnypaqb.ini
c:\windows\system32\eyonagol.ini
c:\windows\system32\frafndog.ini
c:\windows\system32\GNUCffii.ini
c:\windows\system32\GNUCffii.ini2
c:\windows\system32\marewugo.dll
c:\windows\system32\noepswjp.ini
c:\windows\system32\oterusef.ini
c:\windows\system32\otokedon.ini
c:\windows\system32\psontvgv.ini
c:\windows\system32\unihuvov.ini
c:\windows\system32\upktapvs.ini
c:\windows\system32\wceyjoqk.ini

----- BITS: Eventuell infizierte Webseiten -----

hxxp://77.74.48.105
.
(((((((((((((((((((((((   Dateien erstellt von 2008-12-11 bis 2009-01-11  ))))))))))))))))))))))))))))))
.

2009-01-11 12:30 . 2009-01-11 12:30	<DIR>	d--------	c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12	<DIR>	d--------	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17	<DIR>	d--------	c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24	<DIR>	d--------	c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00	<DIR>	d--------	c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58	<DIR>	d--------	c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58	<DIR>	d--------	c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38	13,646	--a------	c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55	5,208	--a------	c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19	<DIR>	d--------	c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36	<DIR>	d--------	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12	<DIR>	d--------	c:\programme\Electronic Arts
2008-12-25 16:17 . 2009-01-02 11:42	<DIR>	d--------	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
2008-12-22 16:56 . 2008-12-22 16:56	940,794	--a------	c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56	146,650	--a------	c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56	73,728	--a------	c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56	73,728	--a------	c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26	<DIR>	d--------	c:\windows\Sun

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-09 20:40	---------	d-----w	c:\programme\Warcraft III
2008-12-29 13:28	---------	d-----w	c:\programme\QIP
2008-12-23 11:18	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56	---------	d-----w	c:\programme\ICQ6.5
2008-12-09 15:54	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-09 15:54	---------	d-----w	c:\programme\ICQ6Toolbar
2008-12-09 15:54	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15	---------	d-----w	c:\programme\iTunes
2008-12-07 14:15	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14	---------	d-----w	c:\programme\QuickTime
2008-12-07 14:14	---------	d-----w	c:\programme\iPod
2008-12-07 14:14	---------	d-----w	c:\programme\Bonjour
2008-12-07 14:14	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13	---------	d-----w	c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13	---------	d-----w	c:\programme\Apple Software Update
2008-12-07 14:13	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23	---------	d-----w	c:\programme\MSXML 4.0
2008-12-03 15:59	---------	d-----w	c:\programme\www.ingame.de_lwt
2008-12-02 20:41	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11	---------	d-----w	c:\programme\CyberLink
2008-12-02 20:11	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45	2,829	----a-w	c:\windows\War3Unin.pif
2008-12-02 19:45	139,264	----a-w	c:\windows\War3Unin.exe
2008-12-02 17:58	---------	d-----w	c:\programme\Realtek
2008-12-02 17:56	---------	d-----w	c:\programme\Intel
2008-12-02 17:54	---------	d-----w	c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52	---------	d-----w	c:\programme\ATI Technologies
2008-12-02 17:25	---------	d-----w	c:\programme\Avira
2008-12-02 17:25	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20	---------	d-----w	c:\programme\microsoft frontpage
2008-12-02 17:17	---------	d-----w	c:\programme\Java
2008-12-02 17:17	---------	d-----w	c:\programme\Common Files
2008-12-02 17:15	---------	d-----w	c:\programme\Online-Dienste
2008-12-02 17:14	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-10-23 12:36	286,720	----a-w	c:\windows\system32\gdi32.dll
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 01:00	671,744	----a-w	c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= , 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2009-01-11 c:\windows\Tasks\qcjxgzgc.job
- c:\windows\system32\rundll32.exe [2008-04-14 07:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-11 12:37:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-11 12:38:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-11 11:38:34

Vor Suchlauf: 11 Verzeichnis(se), 97.631.039.488 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,600,483,328 Bytes frei

192	--- E O F ---	2009-01-03 02:31:37
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:43, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\TopMänner\Desktop\qlketzd(2).com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  , 
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 4239 bytes
         

File-Upload.net - listing.txt

Das Log von Blacklight fehlt.

1.) Starte HJT => Do a systems scan only => Markiere

Code: Alles auswählenAufklappen

ATTFilter

O20 - AppInit_DLLs:  ,
         

=> Fix checked

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
c:\windows\Tasks\qcjxgzgc.job

Folder::
c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

3.) SuperAntiSpyware laden, starten und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Code: Alles auswählenAufklappen

ATTFilter

PC Tools Spyware Doctor
 
Date
	
Status
11.01.2009 15:54:07:218 	
Service gestartet
Serviceanwendung von Spyware Doctor gestartet
11.01.2009 15:54:07:218 	
Anti-Malware-Modul
Die Konfiguration des Anti-Malware-Moduls wurde erfolgreich geladen.
11.01.2009 15:54:07:406 	
Anti-Malware-Modul
Das Modul zur Malware-Erkennung wurde deaktiviert
11.01.2009 15:56:03:671 	
Scan gestartet
Scan-Art - Intelli-Scan
11.01.2009 15:56:04:31 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atwola.com/ atwola.com
11.01.2009 15:56:04:46 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - fastclick.net/ fastclick.net
11.01.2009 15:56:04:234 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - sevenoneintermedia.112.2o7.net/ sevenoneintermedia.112.2o7.net
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot
11.01.2009 15:56:12:937 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
11.01.2009 15:56:12:953 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, *NewlyCreated*
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, ActiveService
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
11.01.2009 15:56:12:968 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
11.01.2009 15:56:12:984 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
11.01.2009 15:56:13:0 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
11.01.2009 15:56:14:250 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Generic
Typ - Registrierungsschlüssel
Risiko-Stufe - Mittel
Infektion - HKEY_USERS\S-1-5-21-329068152-1708537768-1417001333-1005\Software\Wget
11.01.2009 15:57:01:140 	
Scan beendet
Scan-Art - Intelli-Scan
Bearbeitete Elemente - 200409
Gefundene Bedrohungen - 4
Gefundene Infektionen - 31
Übergangene Infektionen - 0
11.01.2009 16:06:52:93 	
Scan gestartet
Scan-Art - Vollständiger Scan
11.01.2009 16:06:52:250 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atwola.com/ atwola.com
11.01.2009 16:06:52:265 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - fastclick.net/ fastclick.net
11.01.2009 16:06:52:390 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - sevenoneintermedia.112.2o7.net/ sevenoneintermedia.112.2o7.net
11.01.2009 16:18:16:375 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP3\A0000112.EXE
11.01.2009 16:19:41:703 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
11.01.2009 16:19:42:62 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\WINDOWS\ERDNT\subs\ERDNT.EXE
11.01.2009 16:21:56:468 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Datei
Risiko-Stufe - Info
Infektion - C:\WINDOWS\SWXCACLS.exe
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, snapshot
11.01.2009 16:23:54:546 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\swearware
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
11.01.2009 16:23:54:593 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, *NewlyCreated*
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control, ActiveService
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
11.01.2009 16:23:54:609 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungswert
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
11.01.2009 16:23:54:640 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.NirCmd
Typ - Registrierungsschlüssel
Risiko-Stufe - Info
Infektion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
11.01.2009 16:23:56:109 	
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Generic
Typ - Registrierungsschlüssel
Risiko-Stufe - Mittel
Infektion - HKEY_USERS\S-1-5-21-329068152-1708537768-1417001333-1005\Software\Wget
11.01.2009 16:24:05:562 	
Scan beendet
Scan-Art - Vollständiger Scan
Bearbeitete Elemente - 242186
Gefundene Bedrohungen - 4
Gefundene Infektionen - 35
Übergangene Infektionen - 0
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:57, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Dokumente und Einstellungen\TopMänner\Desktop\qlketzd(3).com
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 4893 bytes
         

Code: Alles auswählenAufklappen

ATTFilter

3) SuperAntiSpyware ... ich hab irgendwie eine andere Version ( aber wohl die aktuellste ):

Auf ihrem Computer wurden 4 Bedrohungen und 35 Infizierungen gefunden.
( Spyware Doctor Pc Tools ) ... Ich kann den Anweisungen nicht wirklich folgen aber ich kann über die " Maßnahmenliste " die gefundenen Dateien löschen.

4) logfile: ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-01-11 17:02:17
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition                8.0.1.30                      No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@fastclick[2].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@apmebf[1].txt
00262020  Cookie/Atwola                      TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@atwola[1].txt
01185375  Application/Psexec.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP2\A0000034.EXE
01185375  Application/Psexec.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP3\A0000132.EXE
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP3\A0000121.sys
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{4F4F9779-9757-4EA6-A8C8-15AE744A1B98}\RP2\A0000024.sys
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\biniyogi.dll.tmp
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\datosuje.dll.tmp
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\jogevoma.dll.tmp
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
No        C:\Dokumente und Einstellungen\TopMänner\Desktop\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                        
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         

Es fehlt noch immer das Log von Blacklight.

Wieso setzt du Spyware Doctor ein? Davon habe ich nichts geschrieben.

Wo ist das Log von SuperAntiSpyware? Du findest den Downloadlink in der Anleitung.

Wo ist das Log von ComboFix Scripten?

Zumindest das Log von HJT sieht deutlich freundlicher aus.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
c:\windows\Tasks\qcjxgzgc.job
C:\WINDOWS\system32\biniyogi.dll.tmp
C:\WINDOWS\system32\datosuje.dll.tmp
C:\WINDOWS\system32\jogevoma.dll.tmp
C:\Programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll

Folder::
c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Deaktiviere die Systemwiederherstellung=>Neustart=>Aktiviere die Systemwiederherstellung und erstelle einen neuen Wiederherstellungspunkt

Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

Ja ich bin dran

... blacklight ging nicht
Der link zum " SuperAntiSpyware " hat zu dem " Spyware Doctor " geführt
un der PC läuft jetzt schon besser
Anti-vir meldet sich fast gar nicht mehr

... aber ich werde die schritte jetzt noch einmal durchgehn

danke schonmal ... es hat auf jeden fall was genützt!

Zitat:

Der link zum " SuperAntiSpyware " hat zu dem " Spyware Doctor " geführt

Der Link führt zur Anleitung auf dem TB und dort das erste Bild/Link lädt SUPERAntiSpyware und nicht Spyware Doctor. Dann lass es laufen und poste das Log.

ciao, andreas

Blacklight hat keine " hidden Items " gefunden.

Hier das Logfile von ComboFix:

ComboFix 09-01-10.03 - TopMänner 2009-01-11 14:14:57.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.627 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\TopMänner\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\Tasks\qcjxgzgc.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
c:\windows\Tasks\qcjxgzgc.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-11 bis 2009-01-11 ))))))))))))))))))))))))))))))
.

2009-01-11 12:30 . 2009-01-11 12:30 <DIR> d-------- c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17 <DIR> d-------- c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24 <DIR> d-------- c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55 5,208 --a------ c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19 <DIR> d-------- c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12 <DIR> d-------- c:\programme\Electronic Arts
2008-12-22 16:56 . 2008-12-22 16:56 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26 <DIR> d-------- c:\windows\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-11 12:10 --------- d-----w c:\programme\Warcraft III
2008-12-29 13:28 --------- d-----w c:\programme\QIP
2008-12-23 11:18 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56 --------- d-----w c:\programme\ICQ6.5
2008-12-09 15:54 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 15:54 --------- d-----w c:\programme\ICQ6Toolbar
2008-12-09 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15 --------- d-----w c:\programme\iTunes
2008-12-07 14:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14 --------- d-----w c:\programme\QuickTime
2008-12-07 14:14 --------- d-----w c:\programme\iPod
2008-12-07 14:14 --------- d-----w c:\programme\Bonjour
2008-12-07 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13 --------- d-----w c:\programme\Apple Software Update
2008-12-07 14:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23 --------- d-----w c:\programme\MSXML 4.0
2008-12-03 15:59 --------- d-----w c:\programme\www.ingame.de_lwt
2008-12-02 20:41 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11 --------- d-----w c:\programme\CyberLink
2008-12-02 20:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45 2,829 ----a-w c:\windows\War3Unin.pif
2008-12-02 19:45 139,264 ----a-w c:\windows\War3Unin.exe
2008-12-02 17:58 --------- d-----w c:\programme\Realtek
2008-12-02 17:56 --------- d-----w c:\programme\Intel
2008-12-02 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52 --------- d-----w c:\programme\ATI Technologies
2008-12-02 17:25 --------- d-----w c:\programme\Avira
2008-12-02 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20 --------- d-----w c:\programme\microsoft frontpage
2008-12-02 17:17 --------- d-----w c:\programme\Java
2008-12-02 17:17 --------- d-----w c:\programme\Common Files
2008-12-02 17:15 --------- d-----w c:\programme\Online-Dienste
2008-12-02 17:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-11 14:16:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-11 14:18:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-11 13:18:25
ComboFix2.txt 2009-01-11 11:38:38

Vor Suchlauf: 11 Verzeichnis(se), 97.578.401.792 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,574,203,392 Bytes frei

162 --- E O F --- 2009-01-03 02:31:37

Du hast das falsche Script laufen gelassen. Das wäre das richtige gewesen. Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

Die Auffälligkeiten sind deutlich weniger geworden danke

ComboFix:

ComboFix 09-01-10.03 - TopMänner 2009-01-14 20:29:42.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.648 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\TopMänner\Desktop\cfscript.text
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
c:\windows\system32\biniyogi.dll.tmp
c:\windows\system32\datosuje.dll.tmp
c:\windows\system32\jogevoma.dll.tmp
c:\windows\Tasks\qcjxgzgc.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
c:\windows\system32\biniyogi.dll.tmp
c:\windows\system32\datosuje.dll.tmp
c:\windows\system32\jogevoma.dll.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-11 16:37 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-01-11 16:36 . 2009-01-11 16:36 <DIR> d-------- c:\programme\Panda Security
2009-01-11 15:52 . 2009-01-12 20:51 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-11 12:30 . 2009-01-11 12:30 <DIR> d-------- c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17 <DIR> d-------- c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24 <DIR> d-------- c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55 5,208 --a------ c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19 <DIR> d-------- c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12 <DIR> d-------- c:\programme\Electronic Arts
2008-12-22 16:56 . 2008-12-22 16:56 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26 <DIR> d-------- c:\windows\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 18:59 --------- d-----w c:\programme\Warcraft III
2008-12-29 13:28 --------- d-----w c:\programme\QIP
2008-12-23 11:18 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56 --------- d-----w c:\programme\ICQ6.5
2008-12-09 15:54 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 15:54 --------- d-----w c:\programme\ICQ6Toolbar
2008-12-09 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15 --------- d-----w c:\programme\iTunes
2008-12-07 14:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14 --------- d-----w c:\programme\QuickTime
2008-12-07 14:14 --------- d-----w c:\programme\iPod
2008-12-07 14:14 --------- d-----w c:\programme\Bonjour
2008-12-07 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13 --------- d-----w c:\programme\Apple Software Update
2008-12-07 14:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23 --------- d-----w c:\programme\MSXML 4.0
2008-12-03 15:59 --------- d-----w c:\programme\www.ingame.de_lwt
2008-12-02 20:41 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11 --------- d-----w c:\programme\CyberLink
2008-12-02 20:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45 2,829 ----a-w c:\windows\War3Unin.pif
2008-12-02 19:45 139,264 ----a-w c:\windows\War3Unin.exe
2008-12-02 17:58 --------- d-----w c:\programme\Realtek
2008-12-02 17:56 --------- d-----w c:\programme\Intel
2008-12-02 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52 --------- d-----w c:\programme\ATI Technologies
2008-12-02 17:25 --------- d-----w c:\programme\Avira
2008-12-02 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20 --------- d-----w c:\programme\microsoft frontpage
2008-12-02 17:17 --------- d-----w c:\programme\Java
2008-12-02 17:17 --------- d-----w c:\programme\Common Files
2008-12-02 17:15 --------- d-----w c:\programme\Online-Dienste
2008-12-02 17:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2009-01-11_12.38.05.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-20 17:46:10 147,968 -c----w c:\windows\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:46:10 247,296 -c----w c:\windows\system32\dllcache\mswsock.dll
+ 2008-06-20 11:51:12 361,600 -c----w c:\windows\system32\dllcache\tcpip.sys
+ 2008-06-20 11:08:27 225,856 -c----w c:\windows\system32\dllcache\tcpip6.sys
- 2008-04-14 06:52:10 147,968 ----a-w c:\windows\system32\dnsapi.dll
+ 2008-06-20 17:46:10 147,968 ----a-w c:\windows\system32\dnsapi.dll
- 2008-04-13 23:50:18 361,344 ----a-w c:\windows\system32\drivers\tcpip.sys
+ 2008-06-20 11:51:12 361,600 ----a-w c:\windows\system32\drivers\tcpip.sys
- 2008-04-13 23:30:04 225,664 ----a-w c:\windows\system32\drivers\tcpip6.sys
+ 2008-06-20 11:08:27 225,856 ----a-w c:\windows\system32\drivers\tcpip6.sys
- 2008-04-14 06:52:20 247,296 ----a-w c:\windows\system32\mswsock.dll
+ 2008-06-20 17:46:10 247,296 ----a-w c:\windows\system32\mswsock.dll
- 2008-12-03 22:24:46 63,580 ----a-w c:\windows\system32\perfc007.dat
+ 2009-01-11 14:53:45 63,580 ----a-w c:\windows\system32\perfc007.dat
- 2008-12-03 22:24:46 52,764 ----a-w c:\windows\system32\perfc009.dat
+ 2009-01-11 14:53:45 52,764 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-03 22:24:46 391,000 ----a-w c:\windows\system32\perfh007.dat
+ 2009-01-11 14:53:45 391,000 ----a-w c:\windows\system32\perfh007.dat
- 2008-12-03 22:24:46 380,350 ----a-w c:\windows\system32\perfh009.dat
+ 2009-01-11 14:53:45 380,350 ----a-w c:\windows\system32\perfh009.dat
- 2007-07-27 08:41:40 16,760 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 12:39:14 18,808 ------w c:\windows\system32\spmsg.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-11 28544]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 20:31:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-14 20:33:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-14 19:33:10
ComboFix2.txt 2009-01-11 13:18:29
ComboFix3.txt 2009-01-11 11:38:38

Vor Suchlauf: 11 Verzeichnis(se), 97.368.686.592 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,370,251,264 Bytes frei

208 --- E O F --- 2009-01-13 12:51:32

So und jetzt noch das Log von SuperAntiSpyware, dann kann ich dich entlassen.

Zitat:

Die Auffälligkeiten sind deutlich weniger geworden

Freut mich.

ciao, andreas