Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner!

Danjo187 · 23.06.2009, 15:52

Guten Tag Trojaner Board Team,

Ich habe heute meinen Rechner gebootet, und mit einem mal meldete Avast, das zahlreiche Trojaner auf meinem Rechner ihr Unwesen treiben... Avast erkennt diese, löscht sie, aber sie kommen irgendwie immer wieder. Und das im 5 Minutentakt! Die Trojaner sind W32 Tiny-II, W32 Hupigon-LIE, W32 Crypt-EKF und W32 Cutwail... Ich habe absolut keine Ahnung davon wie sie sich auf meien Rechner einschleusen konnten, ohne das Avast sie erkennt als sie sich eingeschleust haben, geschweigen denn woher sie kommen oder was sie so alles anrichten
(Ich währe für Informationen darüber sehr dankbar, besonders woher sie kommen damit sie nicht wieder auf meinen Rechner können)... So ich habe mir die Regeln und Anleitungen durchgelesen und alles meines Erachtens nach getan was ihr fortert um vernünftige hilfestellung leisten zu können, falls irgendetwas nicht richtig ist, bitte ich um entschuldigung...
Bitte helft mir, da es langsam richtig nervt......

Habe jetzt grade mbam laufen lassen, den Bericht nach dem Scan gespeichert, und alles entfernen lassen, den Bericht auch Speichern lassen, und der rechner musste neu Booten weil ein paar Dateien nicht zu entfernen waren, den Bericht gespeichert, aber er ist nicht mer da...??? Ist das schlimm oder nicht?? Weiss jetzt nicht was ich tuen soll, einfach nochmal machen oder nicht???

Hier ist erstmal der Avast Protokoll, und es wird immer mer:

23.06.2009 13:14:41 Master Chief 940 Sign of "Win32:Tiny-II [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\36E2TXXP\xqdrrfst[1].htm" file.
23.06.2009 13:15:13 Master Chief 940 Sign of "Win32:Tiny-II [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G7X6K5FA\ioyymqerbo[1].htm" file.
23.06.2009 13:15:17 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UQMXNHQQ\pkqeiimnno[1].htm\[UPX]" file.
23.06.2009 13:15:40 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\yrknxfr.exe\[UPX]" file.
23.06.2009 13:15:48 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\36E2TXXP\pkqeiimnno[1].htm\[UPX]" file.
23.06.2009 13:15:50 Master Chief 940 Sign of "Win32:Hupigon-LIE [Trj]" has been found in "C:\yrknxfr.exe\[UPX]" file.
23.06.2009 13:15:56 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\tvboae.exe" file.
23.06.2009 13:16:14 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8WOZF36E\loaderadv563[1].exe" file.
23.06.2009 13:16:24 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\489.exe" file.
23.06.2009 13:17:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file.
23.06.2009 13:38:01 Master Chief 932 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\83FA4S8T\loaderadv563[1].exe" file.
23.06.2009 13:38:12 Master Chief 932 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\391.exe" file.
23.06.2009 13:42:46 Master Chief 932 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\systemntmi.sys\[Embedded_Ix#1768]" file.
23.06.2009 13:45:58 Master Chief 932 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ws2_32sik.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:03:10 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5QK0VMQ\loaderadv563[1].exe" file.
23.06.2009 14:03:18 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\248.exe" file.
23.06.2009 14:05:45 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:09:26 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\port135sik.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:12:56 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\securentm.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:19:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\securentm.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:22:45 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ws2_32sik.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:23:13 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5QK0VMQ\loaderadv563[1].exe" file.
23.06.2009 14:23:21 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\466.exe" file.
23.06.2009 14:27:03 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:30:18 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:31:16 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5QK0VMQ\loaderadv563[1].exe" file.
23.06.2009 14:31:33 Master Chief 940 Sign of "Win32:Crypt-EKF [Trj]" has been found in "C:\DOKUME~1\MASTER~1\LOKALE~1\Temp\817.exe" file.
23.06.2009 14:34:22 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:38:33 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ws2_32sik.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:41:47 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:45:28 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:48:40 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\systemntmi.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:55:01 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\netsik.sys\[Embedded_Ix#1768]" file.
23.06.2009 14:58:13 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:02:01 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:05:42 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\securentm.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:09:53 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:13:33 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:16:48 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:20:03 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\fips32cup.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:24:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ksi32sk.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:28:29 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:34:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\port135sik.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:38:13 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\nicsk32.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:42:21 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:48:54 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\fips32cup.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:52:47 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\systemntmi.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:56:25 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file.
23.06.2009 15:59:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\i386si.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:03:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\amd64si.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:05:00 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:08:10 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\acpi32.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:12:40 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ati64si.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:12:43 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\ati64si.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:16:03 Master Chief 940 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\port135sik.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:21:50 Master Chief 952 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\netsik.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:23:02 Master Chief 952 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\nicsk32.sys\[Embedded_Ix#1768]" file.
23.06.2009 16:26:18 Master Chief 952 Sign of "Win32:Cutwail [Trj]" has been found in "C:\WINXP\system32\drivers\netsik.sys\[Embedded_Ix#1768]" file.

Hier ist der log vor dem entfernen durch mbam:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2324
Windows 5.1.2600 Service Pack 3

23.06.2009 16:15:44
mbam-log-2009-06-23 (16-15-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 95226
Laufzeit: 25 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINXP\system32\gsf83iujid.dll (Trojan.Crypt) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Zlob.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Crypt) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Crypt) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ksi32sk (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amd64si (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ati64si (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\port135sik (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\securentm (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acpi32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\acpi32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpi32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\i386si (Rootkit.Spamtool) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Systemntmi (Rootkit.Spamtool) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ws2_32sik (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nicsk32 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netsik (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fips32cup (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b2c7b2a1-00f3-42bd-f434-00aaba2c8952} (Trojan.Zlob.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\gsf83iujid.dll (Trojan.Zlob.H) -> No action taken.
c:\RECYCLER\s-1-5-21-3221008685-6647482924-439016957-1576\wnzip32.exe (Backdoor.SdBot) -> No action taken.
C:\WINXP\system32\drivers\acpi32.sys (Trojan.Agent) -> No action taken.
C:\WINXP\system32\Drivers\ati64si.sys (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Master Chief\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

Der Log nach dem entfernen wäre jetzt eigentlich hir, aber er hat ihn ja nicht gespeichert.... Entschuldigt bitte, bin mir nicht sicher ob ichs einfach nochmal machen soll, oder nicht.....

Und hier ist der HJT Log( nach entfernen durch mbam, ohne log leider...):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:51, on 23.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\RunDll32.exe
C:\Programme\Trust\250S Series\lwbwheel.exe
C:\WINXP\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Infium] "C:\Programme\QIP Infium\infium.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Master Chief] C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe /i
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 5317 bytes

So und hir noch die Uninstall-Liste meiner Programme:

ACDSee Foto-Manager 2009
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Aspell English Dictionary-0.50-2
Aspell German Dictionary-0.50-2
avast! Antivirus
CCleaner (remove only)
C-Media 3D Audio
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Evil Player v1.28
GNU Aspell 0.50-3
GTK+ Runtime 2.14.7 rev a (nur entfernen)
HijackThis 2.0.2
Malwarebytes' Anti-Malware
Mozilla Firefox (3.0.11)
NVIDIA Drivers
Pidgin
Sicherheitsupdate für Windows XP (KB923789)
Skype™ 4.0
Spybot - Search & Destroy
TeamSpeak 2 RC2
Trust Trust Ami Mouse 250S Series 1.2
TuneUp Utilities 2009
VC80CRTRedist - 8.0.50727.762
WinRAR

Ich hoffe das die fehlende Log Datei kein Problem ist, ansonsten mach ichs nochmal alles da ich mir nicht sicher bin ob es richtig oder falsch ist, danke für eure Bemühungen. Hoffe ihr könnt mir helfen, ich dreh hir am Rad
bei den ganzen Meldungen, is ja schon fast wiederlich...
Danke im Voraus

MFG, Danjo187

Chris4You · 23.06.2009, 16:08

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe
C:\WINXP\system32\drivers\acpi32.sys
C:\WINXP\system32\Drivers\ati64si.sys 
C:\WINXP\system32\gsf83iujid.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wenn also die Teile erkannt wurden (Achtung! unbedingt den Teatimer (Spybot) deaktivieren):
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Drivers to delete:
ati64si
acpi32

Files to delete:
C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe <-wenn erkannt, sonst aus dem Script löschen
C:\WINXP\system32\drivers\acpi32.sys
C:\WINXP\system32\Drivers\ati64si.sys 
C:\WINXP\system32\gsf83iujid.dll 

Folders to delete:
C:\Dokumente und Einstellungen\Master Chief <-wenn erkannt, sonst aus dem Script löschen

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKCU\..\Run: [Master Chief] C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe /i

So, und nu gleich hinterher:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Chris
Ps.: [Achtung]
Das Backupfile von "C:\avenger\backup.zip" wie folgt hochladen:
http://www.file-upload.net/, hochladen und den Link als "PrivateMail" an "john.doe"...

Danjo187 · 23.06.2009, 17:38

Hallo und danke für die schnelle und gute Hilfe,

Ich war ein wenig Verdutzt als ich wie beschrieben alles eingestellt und gesucht habe, weil nur die MasterChief.exe zu finden wahr, die habe ich prüfen lassen bei VirusTotal, habe die Log auf dem Desktop gespeichert, und dann denn den Avenger laufen lassen mit dem Text da, und dann war ich noch viel verdutzter als ich bemerkt habe beim nächsten Bootvorgang das mein ganzer Desktop resetet wurde, das heisst alle Logs sind jetzt weg... Die MasterChief.exe auch, alles, was ja für mich nicht schlimm ist, da Avast jetzt keinen Virus mehr meldet, aber jetzt kann ich euch nichts mer Posten.... Entschuldigt bitte ich habe das nicht gewusst mit dem Desktop, jetzt weiss ich auch was ihr meintet mit alles vorher Speichern.... Sorry wirklich keine Ahnung gehabt...

Nur der Avanger Report ist noch geblieben, hier ist er:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ati64si" deleted successfully.
Driver "acpi32" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Master Chief\Master Chief.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINXP\system32\drivers\acpi32.sys" not found!
Deletion of file "C:\WINXP\system32\drivers\acpi32.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINXP\system32\Drivers\ati64si.sys" not found!
Deletion of file "C:\WINXP\system32\Drivers\ati64si.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINXP\system32\gsf83iujid.dll" not found!
Deletion of file "C:\WINXP\system32\gsf83iujid.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Dokumente und Einstellungen\Master Chief" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und nun habe ich HJT laufen lassen, doch der beschriebene Eintrag von euch zum fixxen ist nicht drinn, hir ist der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:11, on 23.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\RunDll32.exe
C:\Programme\Trust\250S Series\lwbwheel.exe
C:\WINXP\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 4761 bytes

Soll ich jetzt noch die beschriebenen anderen Prozesse machen oder ist das nicht mehr Nötig???

MFG Danjo187

Chris4You · 23.06.2009, 18:42

Hi,

ja bitter zur Sicherheit alles abarbeiten!

chris

Danjo187 · 23.06.2009, 21:52

Hi nochmal,
Hier ist wie gefordert der Combofix bericht:

ComboFix 09-06-22.0E - Master Chief 23.06.2009 22:07.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Master Chief\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-3221008685-6647482924-439016957-1576
C:\cleanup.exe
c:\recycler\S-1-5-21-3221008685-6647482924-439016957-1576\Desktop.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FIPS32CUP
-------\Legacy_I386SI
-------\Legacy_KSI32SK
-------\Legacy_NETSIK
-------\Legacy_NICSK32
-------\Legacy_SECURENTM
-------\Legacy_SYSTEMNTMI
-------\Legacy_WS2_32SIK
-------\Service_fips32cup
-------\Service_i386si
-------\Service_ksi32sk
-------\Service_netsik
-------\Service_nicsk32
-------\Service_securentm
-------\Service_systemntmi
-------\Service_ws2_32sik

((((((((((((((((((((((( Dateien erstellt von 2009-05-23 bis 2009-06-23 ))))))))))))))))))))))))))))))
.

2009-06-23 15:14 . 2009-06-23 15:14 -------- d-----w- c:\dokumente und einstellungen\Master Chief\Anwendungsdaten\DivX
2009-06-23 14:47 . 2009-06-23 14:49 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-06-23 14:42 . 2009-06-23 14:42 -------- d-----w- c:\programme\CCleaner
2009-06-23 14:41 . 2009-06-23 14:41 -------- d-----w- c:\programme\VideoLAN
2009-06-23 14:39 . 2009-06-23 15:00 -------- d-----w- c:\programme\Evil Player
2009-06-23 13:37 . 2009-06-23 13:37 -------- d-----w- c:\dokumente und einstellungen\Master Chief\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-06-23 13:30 . 2009-06-23 13:30 574 ----a-w- C:\cleanup.bat
2009-06-23 13:30 . 2009-06-23 13:30 135168 ----a-w- C:\zip.exe
2009-06-23 12:25 . 2009-06-23 12:25 -------- d-----w- c:\programme\MirandaFusion
2009-06-23 12:00 . 2009-06-23 12:00 -------- d-----w- c:\programme\Trend Micro
2009-06-23 11:16 . 2009-06-17 06:57 38160 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2009-06-23 11:16 . 2009-06-23 11:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-23 11:16 . 2009-06-23 11:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-23 11:16 . 2009-06-17 06:57 19096 ----a-w- c:\winxp\system32\drivers\mbam.sys
2009-06-23 08:53 . 2009-06-23 14:43 604416 ----a-w- c:\winxp\system32\TUProgSt.exe
2009-06-23 08:53 . 2009-04-27 09:51 28928 ----a-w- c:\winxp\system32\uxtuneup.dll
2009-06-23 08:53 . 2009-06-23 14:43 361216 ----a-w- c:\winxp\system32\TuneUpDefragService.exe
2009-06-23 08:52 . 2009-06-23 08:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-06-23 08:52 . 2009-06-23 14:43 -------- d-----w- c:\programme\TuneUp Utilities 2009
2009-06-23 08:44 . 2009-06-23 08:44 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-06-22 07:29 . 2009-06-22 07:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ACD Systems
2009-06-22 07:29 . 2009-06-22 07:29 -------- d-----w- c:\programme\Gemeinsame Dateien\ACD Systems
2009-06-22 07:29 . 2009-06-22 07:29 -------- d-----w- c:\programme\ACD Systems
2009-06-22 07:17 . 2009-06-22 07:17 -------- d-----w- c:\programme\QIP Infium
2009-06-22 06:16 . 2009-06-23 14:20 -------- d-----w- c:\programme\Gemeinsame Dateien\GTK
2009-06-21 09:40 . 2009-06-21 09:40 56 ---ha-w- c:\winxp\system32\ezsidmv.dat
2009-06-21 09:38 . 2009-06-21 09:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-06-21 09:38 . 2009-06-21 09:38 -------- d-----r- c:\programme\Skype
2009-06-21 09:37 . 2009-06-21 09:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-06-21 07:16 . 2009-06-21 07:17 -------- d-----w- c:\programme\Teamspeak2_RC2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-23 17:42 . 2009-06-20 19:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-23 13:32 . 2009-06-23 13:32 -------- d-----w- c:\dokumente und einstellungen\Master Chief\Anwendungsdaten\TuneUp Software
2009-06-20 19:18 . 2009-06-20 19:18 0 ----a-w- c:\winxp\nsreg.dat
2009-06-20 19:09 . 2009-06-20 19:09 -------- d-----w- c:\programme\DivX
2009-06-20 19:09 . 2009-06-20 19:09 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-20 19:07 . 2009-06-20 19:07 -------- d-----w- c:\programme\Alwil Software
2009-06-20 19:06 . 2009-06-20 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-06-20 19:03 . 2009-06-20 19:03 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-20 19:02 . 2008-04-14 09:00 45672 ----a-w- c:\winxp\system32\perfc007.dat
2009-06-20 19:02 . 2008-04-14 09:00 309810 ----a-w- c:\winxp\system32\perfh007.dat
2009-06-20 18:59 . 2009-06-20 18:59 -------- d-----w- c:\programme\Trust
2009-06-20 18:55 . 2009-06-20 18:55 -------- d-----w- c:\programme\C-Media 3D Audio
2009-06-20 18:31 . 2009-06-20 18:31 -------- d-----w- c:\programme\microsoft frontpage
2009-06-20 18:28 . 2009-06-20 18:28 86315 ----a-w- c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2009-06-20 18:27 . 2009-06-20 18:27 -------- d-----w- c:\programme\Online-Dienste
2009-06-20 18:26 . 2009-06-20 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-06-20 18:23 . 2009-06-20 18:23 21740 ----a-w- c:\winxp\system32\emptyregdb.dat
2009-06-20 18:22 . 2009-06-20 18:22 -------- d-----w- c:\programme\Windows Media Connect 2
2009-05-01 21:03 . 2009-06-20 19:09 9464 ------w- c:\winxp\system32\drivers\cdralw2k.sys
2009-05-01 21:03 . 2009-06-20 19:09 9336 ------w- c:\winxp\system32\drivers\cdr4_xp.sys
2009-05-01 21:03 . 2009-06-20 19:09 43528 ------w- c:\winxp\system32\drivers\PxHelp20.sys
2009-05-01 21:03 . 2009-06-20 19: ------w- c:\winxp\system32\pxafs.dll
2009-05-01 21:03 . 2009-06-20 19: ------w- c:\winxp\system32\pxcpyi64.exe
2009-05-01 21:03 . 2009-06-20 19: ------w- c:\winxp\system32\pxinsi64.exe
2009-05-01 21:02 . 2009-05-01 21:02 ----a-w- c:\winxp\system32\dpl100.dll
2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx0c.dll
2009-05-01 21:02 . 2009-05-01 21:02 ----a-w- c:\winxp\system32\divx_xx07.dll
2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx0a.dll
2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx16.dll
2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\divx_xx11.dll
2009-05-01 21:02 . 2009-05-01 21: ----a-w- c:\winxp\system32\DivX.dll
.

------- Sigcheck -------

[-] 2008-12-10 13:31 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
"ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2009-05-27 1573104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LWBMOUSE"="c:\programme\Trust\250S Series\lwbwheel.exe" [2001-04-20 429568]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2006-11-17 7700480]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"nwiz"="nwiz.exe" - c:\winxp\system32\nwiz.exe [2006-11-17 1622016]
"NvMediaCenter"="NvMCTray.dll" - c:\winxp\system32\nvmctray.dll [2006-11-17 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\winxp\system32\drivers\aswSP.sys [20.06.2009 23:38 114768]
R2 aswFsBlk;aswFsBlk;c:\winxp\system32\drivers\aswFsBlk.sys [20.06.2009 23:38 20560]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\winxp\system32\TUProgSt.exe [23.06.2009 13:23 604416]
S2 amd64si;amd64si;\??\c:\winxp\system32\drivers\amd64si.sys --> c:\winxp\system32\drivers\amd64si.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-06-23 c:\winxp\Tasks\1-Click Maintenance.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 11:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2009-06-23 22:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3308)
c:\programme\Trust\250S Series\MOUSEDLL.DLL
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\winxp\system32\nvsvc32.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\rundll32.exe
c:\winxp\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-23 22:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-23 17:44

Vor Suchlauf: 7 Verzeichnis(se), 12.125.560.832 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 13.641.318.400 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

180

Ich hoffe das war jetzt alles und mein System bleibt erstmal frei von dem Müll. Könnt ihr mir bitte noch sagen ob es sich lohnt SpyBot drauf zu haben oder nicht, und was man noch am besten haben sollte, um sowas in Zukunft zu vermeiden? Naja und ob ihr wisst woher das jetzt gekommen ist wäre auch Interessant für mich, da ich die letzten Tage nur WoW gezockt habe...
Für Antworten wäre ich sehr Dankbar, und ich habe nachträglich im Bericht, über Sigcheck die 10 Zeilen Editiert, da stand meine Skype Nummer irgendwie drin, wie auch immer ich habe sie einfach gelöscht.....

Achja und danke für die Erstklassige Hilfe, Prima Arbeit von euch, bin zufrieden

Oh, und das Backup was ich hochladen sollte, finde ich nicht, zwar den Ordner, aber nicht die Zip Datei in dem Ordner, Sorry....

Also ich wünsche allen noch n schönen Abend, und noch gutes Gelingen

MFG Danjo187

Chris4You · 23.06.2009, 22:15

Hi,

bitte noch folgende Files online (virustotal.com) prüfen und das gesamte Ergebnis jeweils mit Filename posten:

Code:

ATTFilter

c:\winxp\system32\drivers\amd64si.sys <-Der ist noch aktiv...(zumindest steht er noch als Dienst in der Reg.)
c:\winxp\system32\pxafs.dll
c:\winxp\system32\pxcpyi64.exe
c:\winxp\system32\pxinsi64.exe

chris

Danjo187 · 24.06.2009, 15:09

Cool, ja dann nochmal besten dank Chris, bist ne echt gute hilfe gewesen...
Von mir aus kann der Thread dann geschlossen werden, und wenn was ist melde ich mich bei euch...

Machs gut, und BIG THX für alles

Ciao

Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner!

Plagegeister aller Art und deren Bekämpfung: Ich werde Wahnsinnig, habe mehrere Trojaner auf meinem Rechner!