trojaner entfernen bitte

john.doe · 24.06.2009, 21:09

Da machen wir gleich weiter, da scheint ja einiges im Argen zu liegen.

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

HDD94 · 24.06.2009, 21:23

ich kann den online scanner irgendwie nicht downloaden da steht ich soll akzeptieren habe ich gemacht und dann ladet es sehr lange und kommt nichts

john.doe · 24.06.2009, 21:24

Dann überspringe den und nimm den nächsten.

ciao, andreas

HDD94 · 24.06.2009, 21:35

ich hab des orevx 3.0 scannen lassen und da wurden 2 infectionen gefunden aber kein screen shot aufgetaucht und ich will des n icht mit den programm säubern weil es geld kostet

john.doe · 24.06.2009, 21:44

Dann notiere dir die Namen und die kompletten Pfade und poste sie hier.

ciao, andreas

HDD94 · 24.06.2009, 21:58

1. combofix.exe in c:/dokumente und einstellungen/diep/destop
name: high risk spyware
2. kill1211 in c:/windows/system32
name:high risk worm

john.doe · 24.06.2009, 22:25

1.) Deinstalliere (falls möglich):

TrojanHunter 5.1
Trojancheck 6

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
npggsvc
catchme

RegLockDel::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{f012d0d9-a046-4fb1-93b4-fcf7e39a9661}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{f0141d71-fa8f-4074-9577-373056375395}]

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
"IDMan"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"npggsvc"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Dokumente und Einstellungen\\Diep\\Desktop\\Win2DS.exe"=-
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=-
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=-

Folder::
C:\WINDOWS\msdownld.tmp
C:\Programme\Kaspersky Lab
C:\Programme\TrojanHunter 5.1
C:\Dokumente und Einstellungen\Diep\Anwendungsdaten\TrojanHunter
c:\programme\Trojancheck 6

File::
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\system32\wininet(2)(2).dll
c:\windows\system32\urlmon(2)(2).dll
c:\windows\system32\win32k(2)(2).sys
c:\windows\system32\rpcrt4(2)(2).dll
C:\WINDOWS\system32\GameMon.des
c:\windows\system32\kill1211.exe
C:\Programme\Mozilla Firefox\Optimizers\Fuo\Firefox Ultimate Optimizer.exe

DirLook::
C:\WINDOWS\pss
C:\Favoriten

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Deaktiviere den Wächter von Avira.

4.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade ihn bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

5.) Aktiviere den Wächter von Avira.

ciao, andreas

HDD94 · 25.06.2009, 12:49

des trojanhunter udn des andere sind schon deinstaliert hier ist der log von den combofix:

ComboFix 09-06-20.02 - Diep 25.06.2009 13:34.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.595 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Diep\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Diep\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

FILE ::
"c:\programme\Mozilla Firefox\Optimizers\Fuo\Firefox Ultimate Optimizer.exe"
"c:\windows\system32\GameMon.des"
"c:\windows\system32\kill1211.exe"
"c:\windows\system32\rpcrt4(2)(2).dll"
"c:\windows\system32\urlmon(2)(2).dll"
"c:\windows\system32\win32k(2)(2).sys"
"c:\windows\system32\wininet(2)(2).dll"
"c:\windows\Tasks\1-Klick-Wartung.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Diep\Anwendungsdaten\TrojanHunter
c:\programme\Kaspersky Lab
c:\windows\msdownld.tmp
c:\dokumente und einstellungen\Diep\Anwendungsdaten\TrojanHunter\TreeState.dat
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\adialtsk.ppl
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\hips.ppl
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\netwatch.ppl
c:\programme\Mozilla Firefox\Optimizers\Fuo\Firefox Ultimate Optimizer.exe
c:\windows\system32\GameMon.des
c:\windows\system32\kill1211.exe
c:\windows\system32\rpcrt4(2)(2).dll
c:\windows\system32\urlmon(2)(2).dll
c:\windows\system32\win32k(2)(2).sys
c:\windows\system32\wininet(2)(2).dll
c:\windows\Tasks\1-Klick-Wartung.job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATCHME
-------\Service_catchme
-------\Service_npggsvc

((((((((((((((((((((((( Dateien erstellt von 2009-05-25 bis 2009-06-25 ))))))))))))))))))))))))))))))
.

2009-06-24 20:27 . 2009-06-24 20:27 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-06-24 20:27 . 2009-06-24 20:27 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-06-24 20:27 . 2009-06-24 20:27 -------- d-----w- c:\programme\Prevx
2009-06-24 20:27 . 2009-06-24 20:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-06-24 13:03 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-06-23 20:06 . 2009-06-23 20:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-06-23 20:06 . 2009-06-23 20:06 -------- d-----w- c:\programme\FLV Player
2009-06-22 19:00 . 2009-06-22 19:00 -------- d-----w- c:\programme\Panda Security
2009-06-22 18:55 . 2009-06-22 19:07 -------- d-----w- c:\programme\Dr. Hardware 2009
2009-06-22 18:43 . 2009-06-22 18:43 -------- d-----w- C:\rsit
2009-06-21 20:18 . 2009-06-21 20:18 -------- d-----w- c:\dokumente und einstellungen\Diep\dwhelper
2009-06-21 11:55 . 2009-06-21 11:55 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\NeroDigital™
2009-06-21 10:46 . 2009-06-21 10:46 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\avidemux
2009-06-21 10:30 . 2009-06-22 12:48 -------- d-----w- c:\programme\Free Video Joiner
2009-06-21 09:41 . 2009-06-21 10:28 -------- d-----w- c:\dokumente und einstellungen\Diep\Lokale Einstellungen\Anwendungsdaten\Video Converter
2009-06-21 09:39 . 2009-06-21 09:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VideoConverter
2009-06-20 10:38 . 2006-06-29 11:07 14048 ------w- c:\windows\system32\spmsg2.dll
2009-06-20 10:18 . 2009-06-20 10:37 -------- d-----w- c:\windows\system32\XPSViewer
2009-06-20 10:18 . 2009-06-20 10:18 -------- d-----w- c:\programme\MSBuild
2009-06-20 10:17 . 2009-06-20 10:17 -------- d-----w- c:\programme\Reference Assemblies
2009-06-20 10:16 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-06-20 10:16 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-06-20 10:16 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-06-20 10:16 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-06-20 10:16 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-06-20 10:16 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-06-20 10:16 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-06-19 21:16 . 2009-06-19 21:16 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2009-06-19 21:16 . 2009-06-19 21:16 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-06-19 20:54 . 2009-06-19 20:54 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IECompatCache
2009-06-19 19:26 . 2009-06-19 19:26 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-06-19 19:16 . 2009-06-19 19:16 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\Malwarebytes
2009-06-19 19:15 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-19 19:15 . 2009-06-19 19:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-19 19:15 . 2009-06-19 19:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-19 19:15 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-19 15:54 . 2009-06-19 15:54 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2009-06-19 14:52 . 2009-06-19 14:52 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
2009-06-18 21:15 . 2009-06-20 17:35 -------- d-----w- c:\dokumente und einstellungen\Diep\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-06-18 20:47 . 2009-06-18 20:47 -------- d-----w- C:\My Video
2009-06-18 20:46 . 2009-06-18 20:46 5 ----a-w- c:\windows\system32\SySavitowmv.dat
2009-06-18 20:46 . 2009-06-18 20:46 -------- d-----w- c:\programme\Crystal Software
2009-06-18 20:32 . 2009-06-18 20:32 -------- d-----w- c:\programme\4U Computing
2009-06-18 20:04 . 2009-06-18 20:08 -------- d-----w- C:\temp
2009-06-18 20:03 . 2009-06-18 20:03 -------- d-----w- c:\programme\DivX Pro VFW
2009-06-18 20:03 . 2009-06-18 20:45 -------- d-----w- c:\programme\Magic Total VideoConverter
2009-06-18 17:51 . 2009-06-18 17:51 -------- d-----w- c:\windows\system32\windows media
2009-06-18 13:25 . 2009-06-18 13:25 -------- d-----w- c:\programme\bobyte
2009-06-18 13:11 . 2009-06-18 13:11 -------- d-----w- C:\Movavi Dateien
2009-06-18 12:44 . 2009-06-18 12:44 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\MOVAVI
2009-06-18 12:41 . 2009-06-18 21:11 -------- d-----w- c:\programme\Movavi VideoSuite 7
2009-06-18 12:26 . 2007-05-17 15:30 318976 ----a-w- c:\windows\system32\avisynth.dll
2009-06-18 12:26 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
2009-06-18 12:26 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2009-06-16 13:11 . 2009-06-16 13:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Drivers Headquarters
2009-06-16 13:07 . 2009-06-18 12:40 -------- d-----w- c:\dokumente und einstellungen\Diep\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2009-06-16 11:54 . 2009-06-16 11:54 -------- d-----w- c:\windows\system32\wbem\Repository
2009-06-16 11:52 . 2009-06-16 11:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-06-16 11:46 . 2009-06-16 11:46 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-06-16 11:46 . 2009-06-16 11:46 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-06-16 11:46 . 2009-06-16 11:46 -------- d-----w- c:\dokumente und einstellungen\Administrator\Favoriten
2009-06-16 11:46 . 2009-06-16 11:46 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-06-16 11:46 . 2009-06-16 11:46 -------- d-----r- c:\dokumente und einstellungen\Administrator\Startmenü
2009-06-16 11:08 . 2009-06-16 11:08 -------- d-----w- c:\programme\Conceptronic
2009-06-14 20:29 . 2009-06-16 11:54 -------- d-----w- c:\programme\SIW
2009-06-14 18:50 . 2009-06-14 18:50 -------- d-----w- c:\programme\gPotato.eu
2009-06-13 21:28 . 2009-06-13 21:28 -------- d-----w- c:\programme\Lavalys
2009-06-13 14:04 . 2009-06-13 14:04 -------- d-----w- c:\windows\system32\AGEIA
2009-06-13 14:04 . 2009-06-16 10:49 -------- d-----w- c:\programme\AGEIA Technologies
2009-06-13 12:12 . 2009-06-13 12:12 -------- d-----w- c:\programme\Microsoft Silverlight
2009-06-13 11:59 . 2009-03-16 21:36 931672 ----a-w- c:\windows\system32\XAudioD2_4.dll
2009-06-13 11:59 . 2009-03-16 21:35 343368 ----a-w- c:\windows\system32\XactEngineD3_4.dll
2009-06-13 11:59 . 2009-03-16 21:35 125768 ----a-w- c:\windows\system32\XAPOFXD1_3.dll
2009-06-13 11:59 . 2009-03-16 21:35 428888 ----a-w- c:\windows\system32\XactEngineA3_4.dll
2009-06-13 11:59 . 2009-03-16 21:35 358728 ----a-w- c:\windows\system32\dinput8d.dll
2009-06-13 11:59 . 2009-03-16 21:35 45384 ----a-w- c:\windows\system32\X3DAudioD1_6.dll
2009-06-13 11:59 . 2009-03-16 21:36 3795784 ----a-w- c:\windows\system32\d3dx9d_33.dll
2009-06-13 11:59 . 2009-03-16 21:35 4280136 ----a-w- c:\windows\system32\D3dx9d_41.dll
2009-06-13 11:59 . 2009-03-16 21:35 348504 ----a-w- c:\windows\system32\d3dref9.dll
2009-06-13 11:59 . 2009-03-16 21:35 497480 ----a-w- c:\windows\system32\D3DX10d_41.dll
2009-06-13 11:59 . 2009-03-16 21:36 3083592 ----a-w- c:\windows\system32\d3d9d.dll
2009-06-13 11:48 . 2009-06-16 10:49 -------- d-----w- c:\programme\Microsoft DirectX SDK (March 2009)
2009-06-13 11:28 . 2009-06-13 11:28 118104 ----a-w- c:\windows\dxsdkuninst.exe
2009-06-12 20:05 . 2007-03-15 14:57 443752 ----a-w- c:\windows\system32\d3dx10_33.dll
2009-06-12 19:50 . 2009-06-19 14:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-06-12 14:01 . 2009-06-12 14:01 -------- d-----w- c:\windows\ie8updates
2009-06-12 11:12 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-12 11:12 . 2009-04-30 21:12 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-12 11:12 . 2009-04-30 21:13 1985024 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-06-12 11:12 . 2009-04-30 21:13 11064832 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-06-11 13:43 . 2009-06-11 13:43 -------- d-sh--w- c:\dokumente und einstellungen\Diep\IECompatCache
2009-06-11 13:43 . 2009-06-11 13:43 -------- d-----w- C:\Favoriten
2009-06-11 13:42 . 2009-06-11 13:42 -------- d-sh--w- c:\dokumente und einstellungen\Diep\PrivacIE
2009-06-11 13:31 . 2009-06-11 13:31 -------- d-sh--w- c:\dokumente und einstellungen\Diep\IETldCache
2009-06-11 13:26 . 2009-06-16 11:47 -------- dc-h--w- c:\windows\ie8
2009-06-11 09:24 . 2009-06-11 09:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-06-10 21:21 . 2009-06-10 21:21 -------- d-----w- C:\Logs
2009-06-10 20:32 . 2009-06-16 11:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-06-10 20:32 . 2009-06-16 11:47 -------- d-----w- c:\programme\World of Warcraft
2009-06-10 20:25 . 2009-06-16 11:46 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
2009-06-10 20:25 . 2009-06-19 19:26 -------- d--h--r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-06-10 20:25 . 2009-06-20 21:49 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-06-10 20:25 . 2009-06-19 20:54 -------- d-----w- c:\dokumente und einstellungen\Administrator
2009-06-10 20:25 . 2009-06-16 11:46 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-06-09 15:38 . 2006-01-19 21:10 363008 ----a-r- c:\windows\system32\drivers\rt61.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 11:33 . 2008-12-20 21:37 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\DMCache
2009-06-24 12:30 . 2008-12-19 13:04 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-06-23 20:44 . 2008-11-29 13:36 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\Skype
2009-06-23 20:44 . 2008-11-29 13:44 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\skypePM
2009-06-23 20:06 . 2008-11-29 14:13 -------- d-----w- c:\programme\Yahoo!
2009-06-20 12:01 . 2008-11-28 22:19 49280 ----a-w- c:\dokumente und einstellungen\Diep\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-20 10:30 . 2001-08-18 12:00 553674 ----a-w- c:\windows\system32\perfh007.dat
2009-06-20 10:30 . 2001-08-18 12:00 110114 ----a-w- c:\windows\system32\perfc007.dat
2009-06-18 12:28 . 2008-11-29 00:22 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-16 11:49 . 2008-11-29 00:05 -------- d-----w- c:\programme\SystemRequirementsLab
2009-06-16 11:48 . 2009-02-21 13:57 -------- d-----w- c:\programme\DivX
2009-06-16 11:46 . 2008-12-26 10:26 -------- d-----w- c:\programme\TuneUp Utilities 2009
2009-05-25 08:34 . 2008-12-07 11:33 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\teamspeak2
2009-05-13 05:02 . 2001-08-18 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-10 10:47 . 2008-11-29 14:15 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\TeamViewer
2009-05-07 15:32 . 2001-08-18 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-07 14:20 . 2009-03-17 12:29 -------- d-----w- c:\dokumente und einstellungen\Diep\Anwendungsdaten\IDM
2009-05-07 12:33 . 2009-05-07 12:32 -------- d-----w- c:\programme\Parallel Port Joystick
2009-05-01 19:13 . 2009-05-01 19:13 -------- d-----w- c:\programme\Games-Masters.com
2009-04-27 11:14 . 2009-03-18 11:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-04-27 11:14 . 2009-03-18 11:33 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-04-19 19:46 . 2001-08-18 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2001-08-18 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\Favoriten ----

2009-06-11 13:43 . 2009-06-11 13:43 189 ----a-w- c:\favoriten\- N E T L I F E - phong cach song - song phong cach.URL
2009-06-11 13:43 . 2009-06-11 13:43 164 ----a-w- c:\favoriten\1&1 Internet AG - Produktübersicht.URL
2009-06-11 13:43 . 2009-06-11 13:43 115 ----a-w- c:\favoriten\Dan Tri - Dantri.com.vn.URL
2009-06-11 13:43 . 2009-06-11 13:43 213 ----a-w- c:\favoriten\DWS Investments Unsere Fonds Fonds-Finder.URL
2009-06-11 13:43 . 2009-06-11 13:43 112 ----a-w- c:\favoriten\GiaiTri.com.URL
2009-06-11 13:43 . 2009-06-11 13:43 166 ----a-w- c:\favoriten\Google.URL
2009-06-11 13:43 . 2009-06-11 13:43 128 ----a-w- c:\favoriten\http--www.thugian68.com-ff-Phim-Bo.htm.URL
2009-06-11 13:43 . 2009-06-11 13:43 108 ----a-w- c:\favoriten\http--yeuphim.net-.URL
2009-06-11 13:43 . 2009-06-11 13:43 177 ----a-w- c:\favoriten\http luongsonbac.com movie .URL
2009-06-11 13:43 . 2009-06-11 13:43 186 ----a-w- c:\favoriten\http www.nettolohn.de .URL
2009-06-11 13:43 . 2009-06-11 13:43 112 ----a-w- c:\favoriten\Newphim.com - Phim Online, Nhac Viet, Phim Download, Xem Phim Online, Coi Phim Online.URL
2009-06-11 13:43 . 2009-06-11 13:43 172 ----a-w- c:\favoriten\norisbank - Willkommen.URL
2009-06-11 13:43 . 2009-06-11 13:43 174 ----a-w- c:\favoriten\VnExpress - Vietnam News Daily.URL
2009-06-11 13:43 . 2009-06-11 13:43 168 ----a-w- c:\favoriten\VPHIM.COM- XEM PHIM ,VIDEO, NGHE NHAC, MUSIC VIET ONLINE.URL
2009-06-11 13:43 . 2009-06-11 13:43 160 ----a-w- c:\favoriten\Willkommen bei den WWK Versicherungen - WWK Versicherungen.URL
2009-06-11 13:43 . 2009-06-11 13:43 168 ----a-w- c:\favoriten\www.Vuilen.com.URL
2009-06-11 13:43 . 2009-06-11 13:43 116 ----a-w- c:\favoriten\Xem Phim Online, Phim Bo, Phim Le - The Gioi Phim.URL
2009-06-11 13:43 . 2009-06-11 13:43 164 ----a-w- c:\favoriten\Yahoo! Mail.URL
2009-06-11 13:43 . 2009-06-11 13:43 332 ----a-w- c:\favoriten\Übungen zur englischen Grammatik Übersicht.URL
2009-06-11 13:43 . 2009-06-11 13:43 163 ----a-w- c:\favoriten\ICQ.com Suchergebnisse.URL

---- Directory of c:\windows\pss ----

2009-06-08 13:06 . 2009-06-10 20:40 389 ------w- c:\windows\pss\boot.ini.backup
2009-06-08 13:03 . 2009-04-25 14:03 639 ------w- c:\windows\pss\win.ini.backup
2009-06-08 13:03 . 2008-11-28 19:44 231 ------w- c:\windows\pss\system.ini.backup

((((((((((((((((((((((((((((( SnapShot@2009-06-20_21.45.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-25 11:39 . 2009-06-25 11:39 16384 c:\windows\temp\Perflib_Perfdata_88.dat
+ 2009-06-24 14:08 . 2009-06-24 14:08 11796992 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web\3963ce03d445a8619abbf388d590134b\System.Web.ni.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-30 13594624]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2006-06-23 225280]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-07-19 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 766041]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 471040]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-18 209153]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-30 86016]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-07-19 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-07-19 16248320]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Diep\Startmen\Programme\Autostart\
Calendarium.lnk - c:\programme\Calendarium\Calendarium.exe [2001-4-10 1525760]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer WLAN 11g USB Dongle.lnk - c:\programme\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"PLFlash DeviceIoControl Service"=2 (0x2)
"NMIndexingService"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"IDriverT"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"c:\\Dokumente und Einstellungen\\Diep\\Desktop\\Win2DS.exe"=
"c:\\Programme\\World of Warcraft\\Launcher.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=
"c:\\Programme\\TuneUp Utilities 2009\\OneClickStarter.exe"=
"c:\\WINDOWS\\system32\\ElkCtrl.exe"=
"c:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [24.06.2009 15:03 28544]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.06.2009 22:27 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.06.2009 22:27 27656]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [18.03.2009 13:33 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 13:33 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [18.03.2009 13:33 434945]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [24.06.2009 22:27 4368952]
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\Diep\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\Diep\LOKALE~1\Temp\ALSysIO.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [28.11.2008 23:10 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [28.11.2008 23:10 265088]
S4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [05.02.2009 17:01 603904]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uInternet Settings,ProxyOverride = fritz.box;local
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Download aller Links mit IDM - c:\programme\Internet Download Manager\IEGetAll.htm
IE: Download FLV Video Inhalt mit IDM - c:\programme\Internet Download Manager\IEGetVL.htm
IE: Download mit IDM - c:\programme\Internet Download Manager\IEExt.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: {430BE881-77E1-415B-9643-5BA444DD385C} = 192.168.178.1
TCP: {CC13E001-E3B7-43E4-99F6-3140E2B18626} = 192.168.178.1
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-25 13:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(7964)
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\webcheck.dll
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCI10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\1031\OWCI11.DLL
c:\windows\system32\msls31.dll
.

HDD94 · 25.06.2009, 12:50

------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\avmwlanstick\WLanNetService.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\dokume~1\Diep\LOKALE~1\temp\RtkBtMnt.exe
.
**************************************************************************

.
Zeit der Fertigstellung: 2009-06-25 13:44 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-25 11:44
ComboFix2.txt 2009-06-20 21:49

Vor Suchlauf: 16 Verzeichnis(se), 18.318.458.880 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 18.401.755.136 Bytes frei

341 --- E O F --- 2009-06-24 14:00

HDD94 · 25.06.2009, 12:52

http://www.materialordner.de/MYQI7lzTXuV5oolzg2QdAp101MLaKSM.html

der link zum downloaden

john.doe · 25.06.2009, 15:48

1.) Start => Ausführen => combofix /u => OK

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

HDD94 · 25.06.2009, 17:02

des online scanner geht irgendwie nicht ist das wichtig oder soll ich mit den nächsten schritt anfangen?

HDD94 · 25.06.2009, 17:10

1. combofix.exe in c:/dokumente und einstellungen/diep/destop
name: high risk spyware

nur des andere ist weg

john.doe · 25.06.2009, 17:14

1.) Start => Ausführen => combofix /u (eintippeln, auf das Leerzeichen achten)=> OK

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

HDD94 · 25.06.2009, 21:55

bei mir dauert des panda security voll lange weist du vllt wieso?
habe es mal mit prevx scannen lassen und da steht das es clean ist

trojaner entfernen bitte

Plagegeister aller Art und deren Bekämpfung: trojaner entfernen bitte