Hallo zusammen , also ich schildere mal mein Problem. Vor ca. 3 Tagen hat mir mein AntiVir gemeldet das ich 2 Trojaner habe. Darauf hab ich hier die Tips aus dem Forum befolgt ( abgesicherter Modus, CCleaner usw). Damit dachte ich, ich hab alle Probleme gelöst.Heute hab ich CCleaner mal wieder drüberlaufen lassen und dabei schlug Antivir Alarm das ich einen weiteren Trojaner drauf habe. Denn hab ich dann "gelöscht".Ich weiß nicht wo ich mir in den letzten Tagen einen neuen Trojaner geholt haben könnte, und denke das die anderen auch nicht weg sind. Aber mein Antivir zeigt mir jetzt an , dass alles wieder in Ordung ist. Könnt ihr mir sagen was ich noch tun kann ?

Hier nochmal beide :'TR/Inject.oss' [trojan] 'TR/Dldr.Agent.yla' [trojan]

Hallo Chrissi182 und

Bitte zuerst die Anleitung für neue User abarbeiten -> http://www.trojaner-board.de/69886-f...icherheit.html

Erst dann wird sich jemand deinem Problem annehmen!

Sry kenn mich net aus^^. Also CCleaner hab ich gemacht, Malwarebytes' Anti-Malware geht bei mir iwie nicht.Die Funde bei AntiVir waren folgende :

C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\1841.exe
[FUND] Ist das Trojanische Pferd TR/Inject.oss

C:\System Volume Information\_restore{18002F46-6723-4723-89DD-48D0EAA64350}\RP335\A0063937.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Und bei Hijack kam das raus: Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:06:14, on 27.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\xpmsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yodl.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - C:\Programme\Xilisoft\YouTube Video Converter\upod_link.HTM
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) – h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144692772890
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XPMSService - Unknown owner - C:\WINDOWS\system32\xpmsserv.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/****/LOKALE~1/Temp/msoclip1/01/clip_image001.jpg

--
End of file - 6603 bytes


Hoffe das war jetzt alles richtig ^^

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\xpmsserv.exe
C:/DOKUME~1/****/LOKALE~1/Temp/msoclip1/01/clip_image001.jpg
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Kennst du diese beiden Dateien?


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Um ehrlich zu sein hab ich ein bisschen schiss das ich da was falsch mache , und mein Sstem nich neu aufsetzten kann. Gibts keine Alternative?

Zitat:

Zitat von Chrissi182

Um ehrlich zu sein hab ich ein bisschen schiss das ich da was falsch mache , und mein Sstem nich neu aufsetzten kann. Gibts keine Alternative?

Du brauchst keine Angst haben, das was da in deinem System ist, das ist schlimmer als das was du jetzt zu tun hast.

Das hört man nicht gerne von einem Fachmann. Dann mach ich mich doch mal an die Arbeit

Der 2te Code läst sich nicht Analysieren steht falsche Datei, hab aber Namen wieder eingesetzt. Woran kann das liegen?

Zitat:

Zitat von Chrissi182

Der 2te Code läst sich nicht Analysieren steht falsche Datei, hab aber Namen wieder eingesetzt. Woran kann das liegen?

Dann ist die Datei eventuell nicht mehr exitent.. eventuell

Was kam denn bei der anderen Datei heraus?!

Hoffe ist das richtige:

File size: 40960 bytes
MD5...: baa1f4d8769c162425054c8053b6fa4c
SHA1..: 381986d577ada0af593ec7a1e02d26bc96c49f55
SHA256: 82e031d6879ef2f0be4439055141a18c8736027d5b2f61912d668b2f71d00a10
SHA512: f0f37ffb686a266c40b7949ecfa05cf23a610719eef9279176fb52139b7e2b4f
814ad9a79a10b71d8ecde07b9ca2093bb7fa2ef1a0ed143431c4fb063dbea58f
ssdeep: 384:WecMo//djeR+DKvYEvD8Jl79NG2rCzwXKyXC/43sF9iJQMyoalg14UreBo/:
MFKR3vtvD8v9NG2OEawMM7jog1ZeBo
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13ed
timedatestamp.....: 0x3e8480c8 (Fri Mar 28 17:05:12 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4f16 0x5000 6.60 6788952260168a41c51760715d460aa1
.rdata 0x6000 0x9dc 0x1000 3.83 9322c7c670d4e72fdc666b8525856c9e
.data 0x7000 0x3ee8 0x3000 0.57 c805aeaf29072209dba41e7c4c2ef4af

( 3 imports )
> KERNEL32.dll: GetSystemDirectoryW, GetStartupInfoA, HeapDestroy, GetVersionExA, CloseHandle, SetFilePointer, SetStdHandle, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetLastError, GetModuleHandleA, GetEnvironmentVariableA, GetStringTypeW, GetOEMCP, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, HeapAlloc, MultiByteToWideChar, GetCPInfo, GetACP, LoadLibraryA, VirtualAlloc, HeapReAlloc, GetProcAddress, FlushFileBuffers, LCMapStringA, LCMapStringW, GetStringTypeA
> ADVAPI32.dll: StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus
> xpms.dll: _Install@@YAHPBG000@Z, _UnInstall@@YAHPBG0@Z, _SetPatch@@YAHH@Z, _DoPatch@@YAHXZ

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=B812739600E500B9A00200C9FB1702004BF46599' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=B812739600E500B9A00200C9FB1702004BF46599</a>

So hab jetzt alles gemacht mit Combofix, das kam dabei raus:

ComboFix 09-02-27.02 - ***** 2009-02-28 0:41:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1023.597 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\icon.ico

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-27 bis 2009-02-27 ))))))))))))))))))))))))))))))
.

2009-02-27 22:23 . 2009-02-27 22:23 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-27 22:05 . 2009-02-27 22:05 <DIR> d-------- c:\programme\Trend Micro
2009-02-27 21:34 . 2009-02-27 21:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-27 16:10 . 2009-02-27 16:10 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-27 16:10 . 2009-02-27 16:10 1,409 --a------ c:\windows\QTFont.for
2009-02-27 11:13 . 2009-02-27 11:13 2,322,432 --a------ c:\windows\system32\TUKernel.exe
2009-02-27 10:14 . 2009-02-27 10:14 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-02-27 10:14 . 2009-02-27 10:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-27 10:14 . 2009-02-27 10:14 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-02-27 10:14 . 2009-02-27 10:14 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-02-27 10:14 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2009-02-27 10:13 . 2009-02-27 10:13 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-25 00:23 . 2002-01-01 00:01 <DIR> d-------- c:\programme\NOS
2009-02-25 00:23 . 2002-01-01 00:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-02-23 14:57 . 2009-02-23 14:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-02-23 14:46 . 2009-02-23 15:05 <DIR> d-------- c:\programme\World of Warcraft Trial
2009-02-11 18:13 . 2009-02-11 18:13 <DIR> d-------- c:\dokumente und einstellungen\Chrisi\Anwendungsdaten\MSN6
2009-02-11 18:13 . 2009-02-11 18:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6
2009-02-03 13:53 . 2009-02-03 13:53 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-03 13:53 . 2009-02-03 13:53 73,728 --a------ c:\windows\system32\javacpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-27 23:38 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2009-02-27 23:09 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\skypePM
2009-02-27 09:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-23 13:46 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-02-23 10:33 19,132,625 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2009_02_22_17_48_30_full.dmp.zip
2009-02-06 15:33 1,575,176 ----a-w c:\windows\CISUnins.exe
2009-02-06 15:33 1,575,176 ----a-w c:\windows\CICUnins.exe
2009-02-03 12:53 --------- d-----w c:\programme\Java
2009-01-30 14:03 --------- d-----w c:\programme\ICQ6
2009-01-17 15:45 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\vlc
2009-01-17 15:45 --------- d-----w c:\dokumente und einstellungen\*****\Anwendungsdaten\dvdcss
2009-01-17 15:42 --------- d-----w c:\programme\VideoLAN
2009-01-06 19:22 --------- d-----w c:\programme\Windows Media Connect 2
2008-12-29 10:54 9,417,082 ----a-w c:\windows\Internet Logs\tvDebug.zip
2007-07-20 00:19 855,886 ----a-w c:\programme\AUG2007_d3dx10_35_x64.cab
2007-07-20 00:19 800,467 ----a-w c:\programme\AUG2007_d3dx10_35_x86.cab
2007-07-20 00:19 1,803,760 ----a-w c:\programme\AUG2007_d3dx9_35_x64.cab
2007-07-20 00:18 44,684 ----a-w c:\programme\dxdllreg_x86.cab
2007-07-20 00:18 201,696 ----a-w c:\programme\AUG2007_XACT_x64.cab
2007-07-20 00:18 156,612 ----a-w c:\programme\AUG2007_XACT_x86.cab
2007-07-20 00:18 1,711,752 ----a-w c:\programme\AUG2007_d3dx9_35_x86.cab
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 14:13 49152 c:\progra~1\GEMEIN~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 22:34 24576 c:\progra~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= c:\windows\system32\l3codecp.acm
"msacm.l3codec"= c:\windows\system32\l3codecp.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1A:Stardock TrayMonitor]
--a------ 2003-02-14 02:57 81920 c:\programme\Gemeinsame Dateien\Stardock\TrayServer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 20:33 57344 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
--a------ 2003-10-16 13:57 1356800 c:\programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CursorXP]
--a------ 2005-01-19 16:34 128000 c:\programme\CursorXP\CursorXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogonStudio]
--a------ 2002-09-03 17:38 987187 c:\programme\WinCustomize\LogonStudio\LogonStudio.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2005-12-13 08:49 217088 c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
--a------ 2005-11-30 16:56 1306624 c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2002-01-01 00:04 155648 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2007-01-26 13:36 495616 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-01-15 12:24 32881 c:\programme\Java\j2re1.4.2_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xpos]
--a------ 2003-06-17 12:48 1125221 c:\programme\DATA BECKER\XP optimal stylen\xpui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
--a------ 2006-03-16 10:34 755480 c:\programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"ClipIncSrvTray"="c:\programme\Tobit ClipInc\Player\ClipIncTray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 SSHDRV5B;SSHDRV5B;c:\windows\system32\drivers\SSHDRV5B.sys [2006-04-10 34816]
R1 XPMSDriver;XPMSDriver;c:\windows\system32\xpms.sys [2006-04-10 3520]
R2 ClipInc001;ClipInc 001;c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-27 603904]
R2 XPMSService;XPMSService;c:\windows\system32\xpmsserv.exe [2006-04-10 40960]
R3 RT2400;ASUS Wireless Driver;c:\windows\system32\drivers\RT2400.sys [2006-04-10 51584]
R3 yukonx86;NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter;c:\windows\system32\drivers\yukonx86.sys [2006-04-11 176256]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [2006-04-10 16269]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2006-04-10 452736]
S3 PCD5BX2;PCD5BX2;\??\c:\dokume~1\Chrisi\LOKALE~1\Temp\PCD5BX2.sys --> c:\dokume~1\Chrisi\LOKALE~1\Temp\PCD5BX2.sys [?]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2002-01-01 61536]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2002-01-01 9360]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2002-01-01 97088]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2002-01-01 88624]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2002-01-01 18704]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2002-01-01 86432]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2002-01-01 90800]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - avgio
*Deregistered* - avipbb

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-02-27 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CmUsbSound - cmcnfgu.cpl
MSConfigStartUp-avgnt - c:\programme\AntiVir PersonalEdition Classic\avgnt.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Download with Xilisoft YouTube Video Converter - c:\programme\Xilisoft\YouTube Video Converter\upod_link.HTM
FF - ProfilePath - c:\dokumente und einstellungen\Chrisi\Anwendungsdaten\Mozilla\Firefox\Profiles\2iksq1y4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-28 00:43:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-507921405-413027322-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1280)
c:\windows\system32\Ati2evxx.dll
c:\progra~1\GEMEIN~1\Stardock\mcpstub.dll
c:\progra~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
.
Zeit der Fertigstellung: 2009-02-28 0:45:40
ComboFix-quarantined-files.txt 2009-02-27 23:45:25

Vor Suchlauf: 17 Verzeichnis(se), 36.598.358.016 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 36,856,549,376 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /TUTag=L9H33V /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=L9H33V-BAK

194 --- E O F --- 2009-02-26 01:48:14


Ist das jetzt gut oder schecht

Kann mir das evtl. jetzt wer sagen wäre nett.

Schädlinge im Ordner der Systemwiederherstellung:

• Deaktiviere die Systemwiederherstellung -> So wird es gemacht.

(Systemwiederherstellung kann nun wieder aktiviert werden.)



Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.




Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services f&#252;r Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Jetzt hab ich das Problem das Combofix sich so wie unten steht nicht Entfernen läst.Was kann ich da tun? Steht immer findet die Datei nicht.