Trojaner.. Hacker schaut mir bei allem zu..

Redwulf · 28.03.2009, 15:02

Link funzt nicht, bitte nochmal neu

Engelstraene · 28.03.2009, 15:06

Zitat:

Zitat von Redwulf

Link funzt nicht, bitte nochmal neu

Stimmt danke für den Hinweis hab wohl den oberen Link in der Adressleiste kopiert lol

Materialordner- Tralala Log

Lg

john.doe · 28.03.2009, 15:27

Dann den nächsten, scannen lassen und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

Engelstraene · 28.03.2009, 16:05

Oki doki, läuft, schlägt ebenfalls an.

Lg

Engelstraene · 28.03.2009, 18:23

So der erste Log.

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/28/2009 at 05:15 PM

Application Version : 4.26.1000

Core Rules Database Version : 3819
Trace Rules Database Version: 1773

Scan type : Complete Scan
Total Scan Time : 01:24:59

Memory items scanned : 520
Memory threats detected : 0
Registry items scanned : 6301
Registry threats detected : 1
File items scanned : 66423
File threats detected : 3

Unclassified.Unknown Origin
HKU\S-1-5-21-776561741-507921405-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kerstin\Cookies\kerstin@atwola[1].txt
C:\Dokumente und Einstellungen\Kerstin\Cookies\kerstin@adserver.71i[1].txt

Application.PowerReg Scheduler
C:\SYSTEM VOLUME INFORMATION\_RESTORE{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP234\A0045790.EXE

Der vom abgesicherten kommt noch,oder brauch ich den nicht machen ? Denke schon oder? Soll ja nach Anleitung

Wann kann ich denn davon ausgehen das er nicht mehr sieht was ich mache?

Lg

john.doe · 28.03.2009, 18:31

Nein. Da muss ich noch viel genauer hinschauen.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Engelstraene · 28.03.2009, 19:27

So der Scan in abgesicherten Modus hat nix anderes wie der erste gezeigt. Lediglich die beiden Cookies wurden angezeigt.

Das Scan File vom ComboFix :

ComboFix 09-03-27.02 - Kerstin 2009-03-28 19:08:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.491 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kerstin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\daemon.exe
c:\windows\system32\NCTAudioFile2.dll
c:\windows\system32\NCTAudioPlayer2.dll
c:\windows\system32\NCTAudioRecord2.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_PCIDump

((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-28 ))))))))))))))))))))))))))))))
.

2009-03-28 15:44 . 2009-03-28 15:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 15:43 . 2009-03-28 15:43 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-28 15:43 . 2009-03-28 15:43 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 13:42 . 2009-03-28 13:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-28 13:42 . 2009-03-28 13:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Malwarebytes
2009-03-28 13:42 . 2009-03-28 13:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-28 13:42 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 13:42 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-28 12:38 . 2009-03-28 12:38 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 10:16 . 2009-03-28 10:16 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-03-28 10:16 . 2009-03-28 10:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-27 23:17 . 2009-03-28 00:27 <DIR> d-------- c:\programme\jasdqw
2009-03-27 02:04 . 2009-03-27 02:04 <DIR> d-------- c:\programme\TeamViewer3
2009-03-23 22:06 . 2009-03-23 22:06 <DIR> dr------- c:\programme\Skype
2009-03-23 22:06 . 2009-03-28 19:13 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Skype
2009-03-21 17:46 . 2009-03-09 20:06 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-03-18 20:38 . 2009-03-18 20:38 <DIR> d-------- c:\programme\Lavalys
2009-03-18 20:35 . 2009-03-18 20:35 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-18 20:34 . 2009-03-18 20:34 <DIR> d-------- c:\programme\Avira
2009-03-18 20:34 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-16 10:13 . 2009-03-16 10:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-03-16 10:12 . 2009-03-16 10:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-16 10:11 . 2008-04-07 05:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-03-16 10:11 . 2008-04-07 05:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-03-16 09:30 . 2009-03-16 09:30 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Download Manager
2009-03-15 21:05 . 2009-03-15 21:05 <DIR> d-------- c:\programme\Viewpoint
2009-03-15 18:58 . 2009-03-15 18:58 <DIR> d-------- c:\programme\Season Match 2
2009-03-15 18:57 . 2009-03-15 18:57 <DIR> d-------- c:\programme\Secrets of Olympus
2009-03-15 18:56 . 2009-03-15 18:56 <DIR> d-------- c:\programme\Der Fluch von Montezuma
2009-03-15 18:49 . 2009-03-15 18:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivoGames
2009-03-15 15:31 . 2009-03-15 15:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mIRC
2009-03-15 13:06 . 2009-03-15 13:06 <DIR> d-------- c:\programme\DragonStone
2009-03-15 12:59 . 2009-03-15 13:01 <DIR> d-------- c:\programme\Mahjong Towers Eternity
2009-03-15 12:58 . 2009-03-15 12:58 <DIR> d-------- c:\programme\Haunted Hotel II - Glaube den Luegen
2009-03-15 10:22 . 2009-03-15 10:26 <DIR> d-------- c:\programme\ICQ6.5
2009-03-15 10:05 . 2009-03-15 12:31 <DIR> d-------- c:\programme\Trillian
2009-03-14 17:34 . 2009-03-14 17:34 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Gaijin Ent
2009-03-14 17:04 . 2009-03-15 13:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2009-03-14 12:02 . 2009-03-25 20:52 69 --a------ c:\windows\NeroDigital.ini
2009-03-14 11:42 . 2009-03-14 11:42 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-03-14 11:42 . 2009-03-09 20:06 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-03-13 21:29 . 2009-03-13 21:31 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mobipocket
2009-03-13 21:24 . 2009-03-14 11:34 <DIR> d-------- c:\programme\Haali
2009-03-13 20:33 . 2009-03-28 11:51 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Ahead
2009-03-13 20:32 . 2009-03-13 20:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-13 20:28 . 2009-03-13 20:28 <DIR> d-------- c:\programme\Nero
2009-03-13 20:28 . 2009-03-13 20:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-03-13 13:15 . 2009-03-28 12:13 <DIR> d-------- c:\programme\CCleaner
2009-03-13 13:13 . 2009-03-13 13:13 <DIR> d-------- c:\programme\inKline Global
2009-03-13 13:04 . 2009-03-13 13:28 <DIR> d-------- c:\windows\SxsCaPendDel
2009-03-13 12:46 . 2007-09-26 18:37 3,949,864 --a------ c:\windows\system32\AdvrCntr3.dll
2009-03-07 18:35 . 2009-03-09 10:26 <DIR> d-------- c:\programme\media Verlagsgesellschaft mbH
2009-03-02 00:01 . 2009-03-09 10:48 29 --a------ c:\windows\Irremote.ini
2009-03-01 23:03 . 2009-03-01 23:03 <DIR> d-------- c:\programme\Astonsoft
2009-03-01 23:03 . 2009-03-01 23:05 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\DeepBurner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 17:45 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Winamp
2009-03-28 14:43 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-28 13:31 --------- d-----w c:\programme\Logitech
2009-03-28 11:13 --------- d-----w c:\programme\Zylom Games
2009-03-28 11:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL
2009-03-28 11:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-28 09:52 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-03-23 21:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-18 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-16 17:12 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-16 09:12 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Viewpoint
2009-03-15 17:57 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Friday's games
2009-03-14 16:37 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Zylom
2009-03-13 19:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-13 12:28 --------- d-----w c:\programme\OXXOGames
2009-03-13 12:13 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-13 12:12 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-03-13 12:11 --------- d-----w c:\programme\Windows Live
2009-03-13 12:05 --------- d-----w c:\programme\Winamp
2009-03-13 12:00 --------- d-----w c:\programme\MSBuild
2009-03-13 11:54 --------- d-----w c:\programme\BitComet
2009-03-13 11:53 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-03-10 06:03 --------- d-----w c:\programme\Google
2009-03-09 10:07 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-03-08 22:48 --------- d-----w c:\programme\Elaborate Bytes
2009-03-04 17:59 --------- d-----w c:\programme\Zattoo
2009-03-04 15:05 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ICQ
2009-03-02 07:17 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Nero
2009-03-01 22:09 --------- d-----w c:\programme\DEUTSCHLAND SPIELT
2009-03-01 22:08 --------- d-----w c:\programme\phase5
2009-03-01 22:08 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Viewpoint
2009-03-01 21:46 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-03-01 21:45 --------- d-----w c:\programme\FileZilla
2009-03-01 21:44 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tencent
2009-02-26 22:19 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Move Networks
2009-02-22 18:42 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\concept design
2009-02-22 18:39 --------- d-----w c:\programme\concept design
2009-02-12 13:53 --------- d-----w c:\programme\Messenger Plus! Live
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2009-01-30 19:22 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ppstream
2008-10-29 08:04 102,104 ----a-w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mdbu.bin
2008-09-29 21:30 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\C6DE54A3B9.sys
2008-09-29 21:30 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-08-21 19:56 0 -c--a-w c:\programme\temp01
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-03-11 24095528]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-05 136600]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
--a------ 2009-03-09 20:06 515416 c:\programme\Lavasoft\Ad-Aware\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2009-03-01 11:59 172792 c:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12334:TCP"= 12334:TCP:BitComet 12334 TCP
"12334:UDP"= 12334:UDP:BitComet 12334 UDP

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-14 64160]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2004-04-13 77312]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-03-09 951632]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
S0 Daemon;Daemon;c:\windows\system32\drivers\daemon.sys [2009-02-23 35328]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2008-09-01 163328]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2BF6D46-0085-DD53-FF6E-2AA5FECDA371}]
c:\programme\jasdqw\adasdq.exe s
.
Inhalt des "geplante Tasks" Ordners

2009-03-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 20:06]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-LogitechSoftwareUpdate - c:\programme\Logitech\Video\ManifestEngine.exe

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &AIM Toolbar Search
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Per Mitteilung versenden(&M) ...
IE: Send To &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Über Bluetooth senden
FF - ProfilePath - c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrie7&query=
FF - prefs.js: browser.search.selectedEngine - AIM Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrab&query=
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-28 19:12:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-28 19:16:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-28 18:15:56

Vor Suchlauf: 16 Verzeichnis(se), 13.648.736.256 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,573,533,696 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

254

Lg und viel Spaß bei dem Buchstabensalat. *gg

Edit:Was denkst du John ? Kann ich meinen Nick aus der Sicherheitssperre wieder herausholen ? Oder is die Gefahr das der immer noch auf meinen Pc zugreift zu hoch ?

john.doe · 28.03.2009, 20:10

Du bist noch lange nicht sauber.

1.) Hast du TeamViewer installiert? Wenn ja, warum?

2.) Deinstalliere:

AdAware
BitComet
Spybot
SuperAntiSpyware

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
Lbd

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"Adobe Acrobat Speed Launcher"=-
"Acrobat Assistant 8.0"=-
"Adobe Reader Speed Launcher"=-
"SoundMan"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12334:TCP"=-
"12334:UDP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2BF6D46-0085-DD53-FF6E-2AA5FECDA371}]

Folder::
c:\programme\jasdqw
c:\programme\Lavalys
c:\windows\SxsCaPendDel
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\BitComet

File::
c:\windows\system32\lsdelete.exe
c:\windows\system32\drivers\Lbd.sys
c:\programme\temp01
c:\windows\Tasks\Ad-Aware Update (Weekly).job

DirLook::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
c:\programme\concept design
c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\concept design
c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Move Networks
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tencent

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

4.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 2 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

ciao, andreas

Engelstraene · 28.03.2009, 20:33

Zitat:

Zitat von john.doe

Du bist noch lange nicht sauber.

1.) Hast du TeamViewer installiert? Wenn ja, warum?

Ja das hab ich. Die Unterhaltung sah auch so aus als wäre man mit diesem Programm auf meinem Pc , das Programm war allerdings nicht offen. Benutze das für "Fernwartung" , zwischendurch muss ich meinen Freund helfen weil er irgendwas verstellt hat.

alles bis auf Bit Comet ist deinstalliert. Bei Bit Comet gibt es das Problem das es schon deinstalliert ist. Es wird auch nicht mehr auf HiJack Un-install Liste angezeigt. Wahrscheinlich ist nur noch der Ordner in C:\

Habe den Ordner der komischerweise noch voll mit Dateien war nun gelöscht.

Lg

Engelstraene · 28.03.2009, 20:56

Das zweite ComboFix File Log.

2. ComboFix File

Edit: Logfile von LOP S&D

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Kerstin ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:13 Go)
D:\ (Local Disk) - NTFS - Total:47 Go (Free:46 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 28.03.2009|20:59 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[16.03.2009|10:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[25.07.2008|19:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems
[13.03.2009|20:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
[28.03.2009|12:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL
[24.01.2009|23:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL Downloads
[19.11.2008|23:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL OCP
[26.07.2008|08:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[09.01.2009|18:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[18.03.2009|20:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[02.09.2008|14:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CopyPod
[29.09.2008|22:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
[15.03.2009|18:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DivoGames
[23.01.2009|18:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FarmFrenzy2
[16.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
[22.08.2008|08:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Friday's games
[18.01.2009|01:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Fugazo
[18.08.2008|14:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\GameHouse
[18.01.2009|20:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Gogii
[09.03.2009|10:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[22.08.2008|21:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HiddenSecretsNightmare
[18.01.2009|20:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HipSoft
[20.01.2009|16:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intenium
[28.03.2009|10:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
[27.08.2008|19:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
[28.03.2009|20:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
[12.12.2008|14:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
[28.03.2009|13:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[10.09.2008|16:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
[24.01.2009|22:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[12.01.2009|08:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
[10.12.2008|13:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MumboJumbo
[23.12.2008|00:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\n7-89-o9-3r-4t-r9
[13.03.2009|20:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
[18.01.2009|01:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PlayFirst
[15.03.2009|13:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Playrix Entertainment
[26.07.2008|21:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ScreenSeven
[23.03.2009|22:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[22.08.2008|20:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SpinTop Games
[28.03.2009|15:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
[16.03.2009|18:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[01.03.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Tencent
[27.07.2008|09:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TERMINAL Studio
[30.07.2008|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
[15.03.2009|21:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Viewpoint
[09.09.2008|18:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[25.07.2008|16:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[19.08.2008|16:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[49|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[25.07.2008|07:18] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[18.08.2008|19:25] C:\DOKUME~1\Kerstin\ANWEND~1\1&1
[16.03.2009|10:12] C:\DOKUME~1\Kerstin\ANWEND~1\Adobe
[28.03.2009|11:51] C:\DOKUME~1\Kerstin\ANWEND~1\Ahead
[27.07.2008|01:25] C:\DOKUME~1\Kerstin\ANWEND~1\Alawar
[22.12.2008|19:12] C:\DOKUME~1\Kerstin\ANWEND~1\Ancient Quest of Saqqarah__gamehouse
[01.09.2008|21:49] C:\DOKUME~1\Kerstin\ANWEND~1\Apple Computer
[21.09.2008|09:08] C:\DOKUME~1\Kerstin\ANWEND~1\BuddyW
[15.01.2009|00:08] C:\DOKUME~1\Kerstin\ANWEND~1\CamTrack
[22.02.2009|19:42] C:\DOKUME~1\Kerstin\ANWEND~1\concept design
[01.09.2008|14:10] C:\DOKUME~1\Kerstin\ANWEND~1\CopyTrans
[01.09.2008|14:07] C:\DOKUME~1\Kerstin\ANWEND~1\CopyTransControlCenter
[08.08.2008|13:36] C:\DOKUME~1\Kerstin\ANWEND~1\CopyTransPhoto
[29.09.2008|22:30] C:\DOKUME~1\Kerstin\ANWEND~1\Corel
[29.09.2008|22:33] C:\DOKUME~1\Kerstin\ANWEND~1\CyberLink
[01.03.2009|23:05] C:\DOKUME~1\Kerstin\ANWEND~1\DeepBurner
[03.09.2008|13:04] C:\DOKUME~1\Kerstin\ANWEND~1\DivX
[16.03.2009|09:30] C:\DOKUME~1\Kerstin\ANWEND~1\Download Manager
[30.07.2008|21:41] C:\DOKUME~1\Kerstin\ANWEND~1\FileZilla
[15.03.2009|18:57] C:\DOKUME~1\Kerstin\ANWEND~1\Friday's games
[14.03.2009|17:34] C:\DOKUME~1\Kerstin\ANWEND~1\Gaijin Ent
[26.12.2008|13:32] C:\DOKUME~1\Kerstin\ANWEND~1\GameHouse
[09.12.2008|21:40] C:\DOKUME~1\Kerstin\ANWEND~1\Google
[05.09.2008|07:57] C:\DOKUME~1\Kerstin\ANWEND~1\Help
[01.09.2008|14:10] C:\DOKUME~1\Kerstin\ANWEND~1\iCloner
[04.03.2009|16:05] C:\DOKUME~1\Kerstin\ANWEND~1\ICQ
[14.03.2009|17:37] C:\DOKUME~1\Kerstin\ANWEND~1\Identities
[21.01.2009|21:45] C:\DOKUME~1\Kerstin\ANWEND~1\Jane s Hotel
[18.01.2009|01:44] C:\DOKUME~1\Kerstin\ANWEND~1\Jane s Hotel Family Hero
[31.10.2008|10:44] C:\DOKUME~1\Kerstin\ANWEND~1\JewelMatch2
[25.07.2008|16:04] C:\DOKUME~1\Kerstin\ANWEND~1\Macromedia
[12.12.2008|14:15] C:\DOKUME~1\Kerstin\ANWEND~1\MAGIX
[28.03.2009|13:42] C:\DOKUME~1\Kerstin\ANWEND~1\Malwarebytes
[12.12.2008|16:33] C:\DOKUME~1\Kerstin\ANWEND~1\michaelkaesper.de Software
[14.03.2009|11:34] C:\DOKUME~1\Kerstin\ANWEND~1\Microsoft
[15.03.2009|15:42] C:\DOKUME~1\Kerstin\ANWEND~1\mIRC
[13.03.2009|21:31] C:\DOKUME~1\Kerstin\ANWEND~1\Mobipocket
[26.02.2009|23:19] C:\DOKUME~1\Kerstin\ANWEND~1\Move Networks
[25.07.2008|15:47] C:\DOKUME~1\Kerstin\ANWEND~1\Mozilla
[28.09.2008|13:37] C:\DOKUME~1\Kerstin\ANWEND~1\MysteryStudio
[02.03.2009|08:17] C:\DOKUME~1\Kerstin\ANWEND~1\Nero
[06.09.2008|10:50] C:\DOKUME~1\Kerstin\ANWEND~1\Opera
[22.12.2008|23:56] C:\DOKUME~1\Kerstin\ANWEND~1\Photo! Web Album
[18.01.2009|01:43] C:\DOKUME~1\Kerstin\ANWEND~1\PlayFirst
[30.01.2009|20:22] C:\DOKUME~1\Kerstin\ANWEND~1\ppstream
[24.01.2009|23:03] C:\DOKUME~1\Kerstin\ANWEND~1\QQ Games Plugin
[01.03.2009|22:46] C:\DOKUME~1\Kerstin\ANWEND~1\Real
[28.03.2009|20:42] C:\DOKUME~1\Kerstin\ANWEND~1\Skype
[19.11.2008|00:02] C:\DOKUME~1\Kerstin\ANWEND~1\skypePM
[25.07.2008|18:15] C:\DOKUME~1\Kerstin\ANWEND~1\Sun
[28.03.2009|20:25] C:\DOKUME~1\Kerstin\ANWEND~1\SUPERAntiSpyware.com
[22.11.2008|14:04] C:\DOKUME~1\Kerstin\ANWEND~1\TeamViewer
[25.07.2008|19:10] C:\DOKUME~1\Kerstin\ANWEND~1\TuneUp Software
[01.03.2009|23:08] C:\DOKUME~1\Kerstin\ANWEND~1\Viewpoint
[29.09.2008|22:14] C:\DOKUME~1\Kerstin\ANWEND~1\vlc
[22.12.2008|21:49] C:\DOKUME~1\Kerstin\ANWEND~1\Wildfire
[28.03.2009|18:45] C:\DOKUME~1\Kerstin\ANWEND~1\Winamp
[22.12.2008|12:34] C:\DOKUME~1\Kerstin\ANWEND~1\WinRAR
[14.03.2009|17:37] C:\DOKUME~1\Kerstin\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\Kerstin\ANWEND~1\Bytes
[60|Verzeichnis(se),] C:\DOKUME~1\Kerstin\ANWEND~1\Bytes frei

[18.01.2009|14:58] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[18.01.2009|14:58] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[28.03.2009 20:47][--ah-----] C:\WINDOWS\tasks\SA.DAT
[31.12.2002 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[09.01.2009|19:46] C:\Programme\1&1
[09.01.2009|20:22] C:\Programme\7-Zip
[20.03.2009|10:15] C:\Programme\Adobe
[01.09.2008|19:18] C:\Programme\AGEIA Technologies
[24.01.2009|23:00] C:\Programme\AIM Search
[01.03.2009|23:03] C:\Programme\Astonsoft
[18.03.2009|20:34] C:\Programme\Avira
[07.10.2008|08:31] C:\Programme\AviSynth 2.5
[17.08.2008|10:05] C:\Programme\BFG
[28.03.2009|12:13] C:\Programme\CCleaner
[25.07.2008|07:15] C:\Programme\ComPlus Applications
[22.02.2009|19:39] C:\Programme\concept design
[17.10.2008|19:14] C:\Programme\Corel
[15.03.2009|18:56] C:\Programme\Der Fluch von Montezuma
[01.03.2009|23:09] C:\Programme\DEUTSCHLAND SPIELT
[22.08.2008|15:27] C:\Programme\directx
[09.01.2009|22:02] C:\Programme\DivX
[09.09.2008|16:58] C:\Programme\Dont get Angry 2
[15.03.2009|13:06] C:\Programme\DragonStone
[22.11.2008|14:08] C:\Programme\DVDVideoSoft
[08.03.2009|23:48] C:\Programme\Elaborate Bytes
[01.03.2009|22:45] C:\Programme\FileZilla
[23.12.2008|00:20] C:\Programme\GameHouse
[28.03.2009|20:46] C:\Programme\Gemeinsame Dateien
[17.10.2008|19:16] C:\Programme\GNU
[10.03.2009|07:03] C:\Programme\Google
[04.12.2008|18:13] C:\Programme\GRETECH
[14.03.2009|11:34] C:\Programme\Haali
[15.03.2009|12:58] C:\Programme\Haunted Hotel II - Glaube den Luegen
[12.12.2008|12:39] C:\Programme\Hot Jingle Player
[05.11.2008|13:51] C:\Programme\htmledit
[15.03.2009|10:26] C:\Programme\ICQ6.5
[13.03.2009|13:13] C:\Programme\inKline Global
[13.03.2009|13:13] C:\Programme\InstallShield Installation Information
[13.03.2009|13:04] C:\Programme\Internet Explorer
[05.12.2008|09:46] C:\Programme\Java
[23.12.2008|22:43] C:\Programme\KONAMI
[28.03.2009|14:31] C:\Programme\Logitech
[12.12.2008|14:19] C:\Programme\MAGIX
[15.03.2009|13:01] C:\Programme\Mahjong Towers Eternity
[28.03.2009|13:42] C:\Programme\Malwarebytes' Anti-Malware
[09.03.2009|10:26] C:\Programme\media Verlagsgesellschaft mbH
[25.07.2008|08:36] C:\Programme\Messenger
[12.02.2009|14:53] C:\Programme\Messenger Plus! Live
[12.12.2008|16:33] C:\Programme\michaelkaesper.de Software
[24.01.2009|22:04] C:\Programme\Microsoft
[25.07.2008|07:18] C:\Programme\microsoft frontpage
[25.07.2008|08:49] C:\Programme\Microsoft Office
[24.01.2009|22:04] C:\Programme\Microsoft Office Outlook Connector
[25.07.2008|08:49] C:\Programme\Microsoft Visual Studio
[25.07.2008|08:49] C:\Programme\Microsoft Works
[23.08.2008|12:34] C:\Programme\Mindscape
[25.07.2008|08:36] C:\Programme\Movie Maker
[28.03.2009|20:57] C:\Programme\Mozilla Firefox
[13.03.2009|13:00] C:\Programme\MSBuild
[25.07.2008|07:14] C:\Programme\MSN
[25.07.2008|07:15] C:\Programme\MSN Gaming Zone
[10.12.2008|13:23] C:\Programme\MumboJumbo
[13.03.2009|20:28] C:\Programme\Nero
[25.07.2008|08:34] C:\Programme\NetMeeting
[16.12.2008|12:35] C:\Programme\No23 Recorder
[25.07.2008|07:15] C:\Programme\Online Services
[25.07.2008|07:17] C:\Programme\Online-Dienste
[03.09.2008|12:45] C:\Programme\Opera
[25.07.2008|08:34] C:\Programme\Outlook Express
[13.03.2009|13:28] C:\Programme\OXXOGames
[31.10.2008|09:42] C:\Programme\Oyla.de - Login
[01.03.2009|23:08] C:\Programme\phase5
[09.09.2008|12:32] C:\Programme\Photo!
[09.01.2009|18:07] C:\Programme\QuickTime
[02.09.2008|17:31] C:\Programme\real
[30.07.2008|10:07] C:\Programme\ReflexiveArcade
[15.03.2009|18:58] C:\Programme\Season Match 2
[15.03.2009|18:57] C:\Programme\Secrets of Olympus
[23.03.2009|22:06] C:\Programme\Skype
[28.03.2009|20:25] C:\Programme\SUPERAntiSpyware
[27.03.2009|02:04] C:\Programme\TeamViewer3
[24.01.2009|23:02] C:\Programme\Tencent
[28.03.2009|12:38] C:\Programme\Trend Micro
[15.03.2009|12:31] C:\Programme\Trillian
[04.12.2008|18:10] C:\Programme\TrueCrypt
[25.07.2008|08:08] C:\Programme\Uninstall Information
[29.09.2008|22:11] C:\Programme\VideoLAN
[15.03.2009|21:05] C:\Programme\Viewpoint
[25.07.2008|15:39] C:\Programme\WIDCOMM
[13.03.2009|13:05] C:\Programme\Winamp
[13.03.2009|13:11] C:\Programme\Windows Live
[27.07.2008|11:15] C:\Programme\Windows Media Connect 2
[27.07.2008|11:15] C:\Programme\Windows Media Player
[25.07.2008|08:34] C:\Programme\Windows NT
[25.07.2008|07:17] C:\Programme\WindowsUpdate
[23.08.2008|12:34] C:\Programme\WindSolutions
[25.12.2008|09:40] C:\Programme\WinRAR
[25.07.2008|07:18] C:\Programme\xerox
[04.03.2009|18:59] C:\Programme\Zattoo
[28.03.2009|12:13] C:\Programme\Zylom Games
[0|Datei(en)] C:\Programme\Bytes
[99|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[16.03.2009|10:12] C:\Programme\Gemeinsame Dateien\Adobe
[25.07.2008|19:25] C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
[13.03.2009|20:31] C:\Programme\Gemeinsame Dateien\Ahead
[13.03.2009|12:53] C:\Programme\Gemeinsame Dateien\Apple
[25.07.2008|08:49] C:\Programme\Gemeinsame Dateien\DESIGNER
[25.07.2008|07:16] C:\Programme\Gemeinsame Dateien\Dienste
[13.03.2009|13:12] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[01.09.2008|20:58] C:\Programme\Gemeinsame Dateien\InstallShield
[25.07.2008|16:11] C:\Programme\Gemeinsame Dateien\Java
[01.09.2008|20:58] C:\Programme\Gemeinsame Dateien\Logitech
[16.03.2009|10:12] C:\Programme\Gemeinsame Dateien\Macrovision Shared
[18.03.2009|20:30] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[25.07.2008|07:16] C:\Programme\Gemeinsame Dateien\MSSoap
[09.03.2009|11:07] C:\Programme\Gemeinsame Dateien\Nero
[01.09.2008|20:28] C:\Programme\Gemeinsame Dateien\NSV
[25.07.2008|08:11] C:\Programme\Gemeinsame Dateien\ODBC
[01.03.2009|22:46] C:\Programme\Gemeinsame Dateien\Real
[25.07.2008|08:11] C:\Programme\Gemeinsame Dateien\SpeechEngines
[24.01.2009|22:04] C:\Programme\Gemeinsame Dateien\System
[24.01.2009|21:56] C:\Programme\Gemeinsame Dateien\Windows Live
[25.07.2008|16:39] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[28.03.2009|20:25] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[24|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 22 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-28 21:00:53
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\Kerstin\Favoriten\Astalavista.MS

[F:1][D:0]-> C:\DOKUME~1\Kerstin\Cookies
[F:1][D:0]-> C:\DOKUME~1\Kerstin\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 28.03.2009|21:01 - Option : [1]

--------------------\\ Scan beendet um 21:01:35

Lg

john.doe · 28.03.2009, 21:27

Bitte die Reihenfolge einhalten. LopSD kannst du wieder deinstallieren.

ciao, andreas

Engelstraene · 28.03.2009, 21:33

Zitat:

Zitat von john.doe

Bitte die Reihenfolge einhalten. LopSD kannst du wieder deinstallieren.

ciao, andreas

Hmm hab ich denk ich. Erst Punkt 3. dann Punkt 4.

Da du vieeeeel mehr Ahnung hast wie ich, werde ich doch nicht deine Arbeit anzweifeln und alles so machen wie ich des für richtig halte.

Danke schon mal für alles und das was noch kommt. Auch wenns wirklich langwierig ist.

Okay *zugeb* Hab den kleinen Punkt von 4. Das LopSD schon bevor ich Punkt 3 gemacht rutnergeladen aber nicht installiert. Das wäre das einzigste. Der Link war nicht verfügbar als ich ihn brauchte, bzw. Warteschlange.

Lg

john.doe · 28.03.2009, 21:35

Zitat:

Hmm hab ich denk ich. Erst Punkt 3. dann Punkt 4.

Sorry, hab den Link übersehen. Bin auch gerade abgelenkt von einer Grundsatzdiskussion über einen anderen Kanal. Passiert nicht wieder.

Muss jetzt erstmal das Log kontrollieren, das dauert etwas.

ciao, andreas

john.doe · 28.03.2009, 21:58

Gleich nocheinmal.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
daemon

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd]
[-HKLM\SYSTEM\CurrentControlSet\Services\sptd]

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tencent
c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Move Networks

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Engelstraene · 28.03.2009, 22:22

Weils so schön noch einmal

ComboFix File

Machst du das eigentlich beruflich oder ist das ein perfekt angelerntes Hobby?

Lg

Trojaner.. Hacker schaut mir bei allem zu..

Log-Analyse und Auswertung: Trojaner.. Hacker schaut mir bei allem zu..