Hallo!

Jaaaa..ich weiß, daß das Thema bestimmt schon viele hatten, aber ich komme nicht weiter, muß dazu sagen, bin echt nen Anfänger was sowas angeht. Hatte noch nie Viren oder ähnliche Probs.

Unten ist ein Kreis mit einem weißen Kreuz drin und der Monitor ist blau und darauf steht "Your Computer is infected........"
Viele Sachen gehen nicht mehr....

Hab mir aber Hijack runtegeladen und hier das Ergebnis und ich hoffe, daß mir einer helfen kann. Aber dann bitte so, daß es auch eine Person versteht, die gehürnplont ist *grinsel*

Ich hoffe, daß das so richtig ist....


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:06, on 08.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\winupdate.exe
C:\eScan\TRAYICOS.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\eScan\MAILDISP.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\eScan\VISTA\avpmapp.exe
C:\eScan\TRAYSSER.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\ESCAN\SPOOLER.EXE
C:\eScan\MAILSCAN.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\eScan\Vista\eScanMon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\eScan\VISTA\ScanningProcess.exe
C:\eScan\vista\ScanningProcess.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\M......\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht.p://search.conduit.com/?SearchSource=10&ctid=CT1561552
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht.p://www.hyrican.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht.p://einwahl.oleco.de/
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: ScriptInocUI Class - - (no file)
R3 - URLSearchHook: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHot0.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\pavuppad.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Orbitdownloader\orbitcth.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbuA7\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Buyertools - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\BuyertoolsReminder\IEButtonBuyertoolsInterface.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHot0.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Programme\Hotspot_Shield\tbHot0.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] C:\Programme\CyberLink\PowerBackup\PBKScheduler.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [internat] C:\WINDOWS\internat.exe
O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe
O4 - HKLM\..\Run: [eScan Updater] C:\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Orbit.lnk = C:\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\BuyertoolsReminder\ReminderIE.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=ht.p://www.hyrican.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h.tp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht.p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131082271875
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - ht.p://by134fd.bay134.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7B4DC9-B06D-4960-814A-E08CC27158F3}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\eScan\TRAYSSER.EXE
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10667 bytes

Und büdde nix sagen, wenn da voll das Kuddelmuddel ist, wie gesagt, bin bei sowas ein totaler Neuling.


Schon jetzt vielen Dank

Hallo,

lass bitte Malwarebytes laufen, beseitige alles Gefundene und Poste das Log davon hier rein.

Zitat:

Zitat von Angel21

Hallo,

lass bitte Malwarebytes laufen, beseitige alles Gefundene und Poste das Log davon hier rein.

Oiii..erst mal lieben Dank für die schnelle Antwort....das ist das Einzige, was ich schon versucht hab, aber da kommt immer die Fehlermeldung 722(1813,93)..komme damit also nicht weiter... *seufz*

Lasse diese Datein:

Zitat:

C:\WINDOWS\system32\pavuppad.exe
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\internat.exe
C:\WINDOWS\system32\winupdate.exe

Bitte mal bei Virustotal.com auswerten oder Hier auf dem Trojaner-Board auf unserem Upload Channel.
Link des Channels ist hier: http://www.trojaner-board.de/54791-a...ner-board.html

Zitat:

Zitat von Angel21

Lasse diese Datein:



Bitte mal bei Virustotal.com auswerten oder Hier auf dem Trojaner-Board auf unserem Upload Channel.
Link des Channels ist hier: http://www.trojaner-board.de/54791-a...ner-board.html

Kuckuck Angel21!

Das geht ja schnell hier *lächel*...
sooo hab drei der Dateien verschicken können, die "internat" ging nicht, warum auch immer..hoffe, daß ich das richtig gemacht hab??

Jedenfalls wieder lieben Dank )

Ja, hast du.
Frage:

Zitat:

Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\eScan\VISTA\avpmapp.exe

Was hat das damit auf sich?

Fixe folgende Einträge:

Öffne HijackThis nochmals -> do a system scan only -> haken vor folgenden einträgen setzen:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\pavuppad.exe,C:\WINDOWS\system32\twext .exe,
O4 - HKLM\..\Run: [internat] C:\WINDOWS\internat.exe
O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe

Fix Checked drücken.
Neustart.

Danach:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Zitat:

Zitat von Angel21

Ja, hast du.
Frage:
Was hat das damit auf sich?

Fixe folgende Einträge:

Öffne HijackThis nochmals -> do a system scan only -> haken vor folgenden einträgen setzen:

Supi, also ich hab Escan runtergezogen und wollte es nachher mal im abgesicherten Modus durchlaufen lassen, hab aber sonst noch nix damit gemacht...also kann ich dir diese Frage nicht beantworten..leider

bin gleich wieder da..werd alles so machen, wie Du es geschrieben hast )

eScan lassen wir erstmal weg, schau unten, gehe alle Punkte durch.

Zitat:

Zitat von Angel21

eScan lassen wir erstmal weg, schau unten, gehe alle Punkte durch.

Huhu!

Hmmmm..hab gerade CCleaner durchlaufen lassen, aber was der da aufgeführt hat, ist mir ein bissi zu viel zum löschen, es sind angeblich über 700 mb und viele Dateien, die mit dem Realplayer zu tun haben, lese da viele Titel, die ich da drin hab....was soll ich nu machen??

Achso, das rote "Kullerchen" in der Taskleiste ist schon mal weg, warum auch immer, aber der Bildschirm ist noch blau mit dem Spruch: Your Computer.....

Huhu Angel21!

Ach wie passend Dein Name doch ist... *lächel*.
Hab alles erledigt (auch beim Cleaner alles wechgehaun, hatte gelesen, daß daß eh nur "Leichen" beim Realplayer waren) und nach Combofix war auch der blaue Hintergrund mit der Warnung wech.

Vielen lieben Dank an Dich...bist echt ein Engel...nu kann ich doch noch in Ruhe schlafen

*knicksmach* für deine Hilfe )))))))))

Hier der log-Text vom Combofix...

ComboFix 09-07-08.04 - Manuela 09.07.2009 1:03.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.447.139 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Manuela\Desktop\Cofi.exe
AV: Norton Internet Security 2006 *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security 2006 *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32\user.ds
c:\recycler\S-1-5-21-114048165-2719505223-1395585065-1003
c:\recycler\S-1-5-21-1202660629-823518204-839522115-1003
c:\recycler\S-1-5-21-2654879437-2980621188-484465462-1003
c:\recycler\S-1-5-21-4247901623-2082469738-2942894390-1003
c:\recycler\S-1-5-21-815458990-473216439-1798061090-1003
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\Installer\WinRMSrv.msi
c:\windows\regedit.com
c:\windows\system32\~.exe
c:\windows\system32\taskmgr.com
c:\windows\system32\twain_32
c:\windows\system32\twain_32\local.ds
c:\windows\system32\twain_32\user.ds
c:\windows\system32\twain_32\user.ds.cla
c:\windows\system32\twext.exe
c:\windows\system32\winhelper.dll
c:\windows\system32\winupdate.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-08 bis 2009-07-08 ))))))))))))))))))))))))))))))
.

2009-07-08 22:37 . 2009-07-08 22:57 -------- d-s---w- C:\ComboFix
2009-07-08 21:00 . 2009-07-08 21:00 -------- d-----w- C:\CCleaner
2009-07-08 17:57 . 2009-07-08 17:57 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Malwarebytes
2009-07-08 17:57 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-08 17:57 . 2009-07-08 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-08 17:57 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-08 17:57 . 2009-07-08 18:16 -------- d-----w- C:\Malwarebytes' Anti-Malware
2009-07-08 16:46 . 2009-07-08 22:03 651296 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-08 16:25 . 2009-07-08 16:27 4813260 ----a-w- c:\windows\REGBK00.ZIP
2009-07-08 16:21 . 2009-07-08 21:42 -------- d-----w- C:\PUB
2009-07-08 16:14 . 2009-07-08 21:42 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2009-07-08 16:13 . 2007-08-06 18:58 43520 ----a-w- c:\windows\killproc.exe
2009-07-08 16:12 . 2007-08-06 18:55 1069056 ----a-w- c:\windows\system32\contfilt.dll
2009-07-08 16:12 . 2007-08-06 18:36 126976 ----a-w- c:\windows\system32\mwnsp.dll
2009-07-08 16:12 . 1997-09-18 04:12 9488 ----a-w- c:\windows\sporder.dll
2009-07-08 16:12 . 1997-09-18 04:12 7680 ----a-w- c:\windows\sporder.exe
2009-07-08 16:12 . 2005-10-09 16:53 125440 ----a-w- c:\windows\system32\UNZDLL.DLL
2009-07-08 16:12 . 2000-04-03 20:00 130560 ----a-w- c:\windows\system32\ZIPDLL.DLL
2009-07-08 16:12 . 2007-08-06 18:39 44544 ----a-w- c:\windows\inst_tsp.exe
2009-07-08 16:12 . 2007-08-06 18:39 356352 ----a-w- c:\windows\system32\mwtsp.dll
2009-07-08 16:12 . 2009-07-08 16:12 -------- d-----w- c:\windows\system32\FLCSS.EXE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-08 23:22 . 2008-08-04 21:16 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Orbit
2009-07-08 23:20 . 2006-02-20 14:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-07-08 22:50 . 2006-02-20 14:23 -------- d-----w- c:\programme\Symantec
2009-07-08 22:44 . 2005-11-04 06:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-07-08 22:03 . 2009-07-08 16:46 8708 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-08 20:49 . 2007-08-22 12:27 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\FRITZ!
2009-07-08 16:15 . 2009-07-08 16:15 166476 ----a-w- c:\windows\winsbak2.reg
2009-07-08 16:15 . 2009-07-08 16:15 20674 ----a-w- c:\windows\winsbak.reg
2009-07-08 14:26 . 2006-02-20 14:24 -------- d-----w- c:\programme\Norton Internet Security
2009-07-08 09:51 . 2006-09-07 20:56 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\BVS Solitaire Collection
2009-06-29 09:07 . 2005-11-03 12:45 421948 ----a-w- c:\windows\system32\perfh007.dat
2009-06-29 09:07 . 2005-11-03 12:45 77104 ----a-w- c:\windows\system32\perfc007.dat
2009-06-03 17:03 . 2008-09-10 20:43 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus
2009-05-07 15:32 . 2005-11-03 12:45 348160 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:33 . 2005-11-03 12:45 672256 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:33 . 2005-11-03 12:44 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 19:46 . 2005-11-03 12:45 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2005-11-03 12:45 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
2009-06-02 09:28 2094616 ----a-w- c:\programme\Hotspot_Shield\tbHot0.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-09 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="c:\programme\VIAudioi\SBADeck\ADeck.exe" [2005-04-08 512000]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"{1290A33C-85F5-4164-A1BE-7DD299D4986A}"="c:\programme\CyberLink\PowerBackup\PBKScheduler.exe" [2005-04-07 69728]
"Ulead AutoDetector"="c:\programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 45056]
"AVMFBoxMonitor"="c:\programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2007-05-08 1482752]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-03-26 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-28 53408]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2005-03-08 53248]
"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2006-02-02 163840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Manuela\Startmen�\Programme\Autostart\
FRITZ!DSL Internet.lnk - c:\programme\FRITZ!DSL\FritzDsl.exe [2007-8-22 901120]
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2007-8-22 917504]
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2007-8-22 679936]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2006-6-25 65588]
Orbit.lnk - c:\orbitdownloader\orbitdm.exe [2008-8-4 1703112]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\pavuppad.exe,"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Orbitdownloader\\orbitdm.exe"=
"c:\\Orbitdownloader\\orbitnet.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=

R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [22.08.2007 14:26 11264]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [23.09.2006 02:20 99176]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [22.08.2007 14:26 367104]
S3 CA504AV;MegaCam, WDM Video Capture;c:\windows\system32\drivers\ca504av.sys [28.08.2006 19:02 512917]
S3 SQTECH9160;CAMERA;c:\windows\system32\drivers\Capt9160.sys [19.06.2007 19:46 45711]
S3 Sunplus;MegaCam Still Image Capture, Sunplus Version 1.00;c:\windows\system32\drivers\Bulk504.sys [28.08.2006 19:02 10952]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST
.
Inhalt des "geplante Tasks" Ordners

2009-06-26 c:\windows\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Manuela.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2005-10-06 10:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Power2GoExpress - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT1561552
uSearch Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download by Orbit - c:\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\orbitdownloader\orbitmxt.dll/202
IE: {{27914077-B4D6-4A0E-9763-76B6E9DD9A81} - c:\buyertoolsreminder\ReminderIE.exe
LSP: c:\programme\FRITZ!DSL\sarah.dll
Trusted Zone: adclixx.de\www
TCP: {1A7B4DC9-B06D-4960-814A-E08CC27158F3} = 192.168.122.252,192.168.122.253
FF - ProfilePath - c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Mozilla\Firefox\Profiles\c4v9zajy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.prosieben.de/index.php?icqpath=icq
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-09 01:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1408)
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
c:\programme\FRITZ!DSL\avmcsock.dll
c:\programme\FRITZ!DSL\avmufc.dll

- - - - - - - > 'explorer.exe'(2064)
c:\programme\ICQ6Toolbar\ICQToolBar.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Symantec Shared\CCSETMGR.EXE
c:\programme\Gemeinsame Dateien\Symantec Shared\CCEVTMGR.EXE
c:\programme\Gemeinsame Dateien\Symantec Shared\CCPROXY.EXE
c:\windows\system32\wdfmgr.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-08 1:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-08 23:26

Vor Suchlauf: 44 Verzeichnis(se), 28.649.054.208 Bytes frei
Nach Suchlauf: 44 Verzeichnis(se), 30.781.165.568 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

222 --- E O F --- 2009-07-08 22:37

Zitat:

Zitat von Erdbeere1973

Huhu!

Hmmmm..hab gerade CCleaner durchlaufen lassen, aber was der da aufgeführt hat, ist mir ein bissi zu viel zum löschen, es sind angeblich über 700 mb und viele Dateien, die mit dem Realplayer zu tun haben, lese da viele Titel, die ich da drin hab....was soll ich nu machen??

Achso, das rote "Kullerchen" in der Taskleiste ist schon mal weg, warum auch immer, aber der Bildschirm ist noch blau mit dem Spruch: Your Computer.....

Hallo,

lade die Quarantäne von Combofix bitte bei unseren Upload Channel hoch.
C:\QooBox\Quarantine ist der Pfad.
Packe es mit ZIP oder RAR und deaktiviere Norton bitte dabei.

Bitte NACH dem Script Durchlauf hochladen. Das auch die neuen Datein mit dabei sind.

*kurz einspringe*

Hallo Manuela

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"=-
"SunJavaUpdateSched"=-
"TkBellExe"=-
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"=-
"NoActiveDesktopChanges"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus
c:\programme\Azureus

File::
c:\windows\system32\drivers\fidbox.dat
c:\windows\REGBK00.ZIP
c:\windows\system32\drivers\fidbox.idx
c:\windows\winsbak2.reg
c:\windows\winsbak.reg
c:\windows\system32\pavuppad.exe
C:\WINDOWS\internat.exe
C:\WINDOWS\system32\twext.exe

DirLook::
C:\PUB
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Huhu!

Hmmm..hab das gemacht, aber wieso wurde nun ein Programm von mir abgeschossen?? Ich meine Azureus?? Hab das doch gebraucht. War damit etwas??

Weil einige andere Sachen gehen nu auch schon nicht mehr (nach dem 1. Combofix), ich frag das nur, weil ich wirklich keene Ahnung davon hab *seufz*

Aber vielen Dank, daß Du eingesprungen bist *lach*, meine nicht damit, daß Du kleiner geworden bist


Hier das Log:

ComboFix 09-07-09.01 - Manuela 09.07.2009 19:25.2.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.447.152 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Manuela\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Manuela\Desktop\cfscript.txt
AV: Norton Internet Security 2006 *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security 2006 *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\windows\internat.exe"
"c:\windows\REGBK00.ZIP"
"c:\windows\system32\drivers\fidbox.dat"
"c:\windows\system32\drivers\fidbox.idx"
"c:\windows\system32\pavuppad.exe"
"c:\windows\system32\twext.exe"
"c:\windows\winsbak.reg"
"c:\windows\winsbak2.reg"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\.certs
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\.keystore
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\.lock
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\0A870C2F64A6BC90B3488076D96C6F89973F0BA1.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\0A870C2F64A6BC90B3488076D96C6F89973F0BA1.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\4D210D94317DE645375D6CAD8804958493552032.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\4D210D94317DE645375D6CAD8804958493552032.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\4E11120BA7E3B3BE9CA7AE59FA97A99C8F8E9FE3.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\4E11120BA7E3B3BE9CA7AE59FA97A99C8F8E9FE3.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\51C0E2336E0F12C8F584F7D5210F1ABADBB54BD4.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\51C0E2336E0F12C8F584F7D5210F1ABADBB54BD4.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\6B5ADE21A0F2CE3F999BDC257191C5D4A20CBA4D.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\6B5ADE21A0F2CE3F999BDC257191C5D4A20CBA4D.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\6F13984ED9720F11DC783DE78F559E2865CA1F4E.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\6F13984ED9720F11DC783DE78F559E2865CA1F4E.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\8C79DF144E2229565C8BCFE6A491FE02FE0AE8B0.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\8C79DF144E2229565C8BCFE6A491FE02FE0AE8B0.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\98CB0139E9373FC8336EB74C15FBDA9339D626B6.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\98CB0139E9373FC8336EB74C15FBDA9339D626B6.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\ADDCCC45CD1CF4776430831F6D07638EF199C17F.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\active\ADDCCC45CD1CF4776430831F6D07638EF199C17F.dat.bak
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\azureus.config
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\azureus.statistics
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\categories.config
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\dht\addresses.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\dht\contacts.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\dht\diverse.dat
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\downloads.config
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\filters.config
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\logs\debug_1.log
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\torrents\Sex_and_the_City_-_Sex_wie_ein_Mann.torrent
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus\tracker.config
c:\programme\Azureus
c:\programme\Azureus\aereg.dll
c:\programme\Azureus\Azureus.exe
c:\programme\Azureus\Azureus2.jar
c:\programme\Azureus\ChangeLog.txt
c:\programme\Azureus\javaw.exe.manifest
c:\programme\Azureus\License.txt
c:\programme\Azureus\plugins\azplugins\azplugins_1.5.jar
c:\programme\Azureus\plugins\azupdater\azupdaterpatcher_1.6.3.jar
c:\programme\Azureus\plugins\azupdater\plugin.properties
c:\programme\Azureus\plugins\azupdater\Updater.jar
c:\programme\Azureus\swt-about.html
c:\programme\Azureus\swt-awt-win32-3106.dll
c:\programme\Azureus\swt-win32-3106.dll
c:\programme\Azureus\swt.jar
c:\programme\Azureus\Uninstall.exe
c:\windows\REGBK00.ZIP
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox.idx
c:\windows\winsbak.reg
c:\windows\winsbak2.reg

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-09 bis 2009-07-09 ))))))))))))))))))))))))))))))
.

2009-07-08 22:37 . 2009-07-08 22:57 -------- d-s---w- C:\ComboFix
2009-07-08 21:00 . 2009-07-08 21:00 -------- d-----w- C:\CCleaner
2009-07-08 20:59 . 2009-07-08 21:00 3252640 ----a-w- C:\ccsetup221.exe
2009-07-08 18:40 . 2009-07-08 18:40 -------- d-----w- C:\SmitfraudFix
2009-07-08 17:57 . 2009-07-08 17:57 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Malwarebytes
2009-07-08 17:57 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-08 17:57 . 2009-07-08 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-08 17:57 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-08 17:57 . 2009-07-08 18:16 -------- d-----w- C:\Malwarebytes' Anti-Malware
2009-07-08 17:55 . 2009-07-08 17:55 3561752 ----a-w- C:\mbam-setup.exe
2009-07-08 16:21 . 2009-07-08 21:42 -------- d-----w- C:\PUB
2009-07-08 16:14 . 2009-07-08 21:42 -------- d-----w- c:\programme\Gemeinsame Dateien\MicroWorld
2009-07-08 16:13 . 2007-08-06 18:58 43520 ----a-w- c:\windows\killproc.exe
2009-07-08 16:12 . 2007-08-06 18:55 1069056 ----a-w- c:\windows\system32\contfilt.dll
2009-07-08 16:12 . 2007-08-06 18:36 126976 ----a-w- c:\windows\system32\mwnsp.dll
2009-07-08 16:12 . 1997-09-18 04:12 9488 ----a-w- c:\windows\sporder.dll
2009-07-08 16:12 . 1997-09-18 04:12 7680 ----a-w- c:\windows\sporder.exe
2009-07-08 16:12 . 2005-10-09 16:53 125440 ----a-w- c:\windows\system32\UNZDLL.DLL
2009-07-08 16:12 . 2000-04-03 20:00 130560 ----a-w- c:\windows\system32\ZIPDLL.DLL
2009-07-08 16:12 . 2007-08-06 18:39 44544 ----a-w- c:\windows\inst_tsp.exe
2009-07-08 16:12 . 2007-08-06 18:39 356352 ----a-w- c:\windows\system32\mwtsp.dll
2009-07-08 16:12 . 2009-07-08 16:12 -------- d-----w- c:\windows\system32\FLCSS.EXE
2009-07-08 16:10 . 2009-07-08 16:11 58437288 ----a-w- C:\iwn2k3ek.exe
2009-07-08 14:21 . 2009-07-08 14:21 16409960 ----a-w- C:\spybotsd162.exe
2009-07-08 13:58 . 2009-07-08 13:58 646824 ----a-w- C:\SpywareTerminator_SFTSetup.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-09 17:34 . 2008-08-04 21:16 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Orbit
2009-07-09 17:22 . 2006-02-20 14:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-07-09 16:01 . 2007-08-22 12:27 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\FRITZ!
2009-07-09 13:54 . 2006-09-07 20:56 -------- d-----w- c:\dokumente und einstellungen\Manuela\Anwendungsdaten\BVS Solitaire Collection
2009-07-08 22:50 . 2006-02-20 14:23 -------- d-----w- c:\programme\Symantec
2009-07-08 22:44 . 2005-11-04 06:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-07-08 14:26 . 2006-02-20 14:24 -------- d-----w- c:\programme\Norton Internet Security
2009-06-29 09:07 . 2005-11-03 12:45 421948 ----a-w- c:\windows\system32\perfh007.dat
2009-06-29 09:07 . 2005-11-03 12:45 77104 ----a-w- c:\windows\system32\perfc007.dat
2009-05-07 15:32 . 2005-11-03 12:45 348160 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:33 . 2005-11-03 12:45 672256 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:33 . 2005-11-03 12:44 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 19:46 . 2005-11-03 12:45 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2005-11-03 12:45 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\PUB ----



((((((((((((((((((((((((((((( SnapShot@2009-07-08_23.23.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-09 17:34 . 2009-07-09 17:34 16384 c:\windows\temp\Perflib_Perfdata_88c.dat
+ 2009-07-09 17:34 . 2009-07-09 17:34 16384 c:\windows\temp\Perflib_Perfdata_344.dat
+ 2005-11-03 13:00 . 2009-07-09 17:13 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2005-11-03 13:00 . 2009-07-08 23:20 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2005-11-03 13:00 . 2009-07-09 17:13 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2005-11-03 13:00 . 2009-07-08 23:20 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2005-11-03 13:00 . 2009-07-09 17:13 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2005-11-03 13:00 . 2009-07-08 23:20 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
2009-06-02 09:28 2094616 ----a-w- c:\programme\Hotspot_Shield\tbHot0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="c:\programme\VIAudioi\SBADeck\ADeck.exe" [2005-04-08 512000]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"{1290A33C-85F5-4164-A1BE-7DD299D4986A}"="c:\programme\CyberLink\PowerBackup\PBKScheduler.exe" [2005-04-07 69728]
"Ulead AutoDetector"="c:\programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 45056]
"AVMFBoxMonitor"="c:\programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2007-05-08 1482752]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-28 53408]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2005-03-08 53248]
"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2006-02-02 163840]

c:\dokumente und einstellungen\Manuela\Startmen�\Programme\Autostart\
FRITZ!DSL Internet.lnk - c:\programme\FRITZ!DSL\FritzDsl.exe [2007-8-22 901120]
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2007-8-22 917504]
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2007-8-22 679936]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2006-6-25 65588]
Orbit.lnk - c:\orbitdownloader\orbitdm.exe [2008-8-4 1703112]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Orbitdownloader\\orbitdm.exe"=
"c:\\Orbitdownloader\\orbitnet.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=

R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [22.08.2007 14:26 11264]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [23.09.2006 02:20 99176]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [22.08.2007 14:26 367104]
S3 CA504AV;MegaCam, WDM Video Capture;c:\windows\system32\drivers\ca504av.sys [28.08.2006 19:02 512917]
S3 SQTECH9160;CAMERA;c:\windows\system32\drivers\Capt9160.sys [19.06.2007 19:46 45711]
S3 Sunplus;MegaCam Still Image Capture, Sunplus Version 1.00;c:\windows\system32\drivers\Bulk504.sys [28.08.2006 19:02 10952]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST
.
Inhalt des "geplante Tasks" Ordners

2009-06-26 c:\windows\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Manuela.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2005-10-06 10:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT1561552
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download by Orbit - c:\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\orbitdownloader\orbitmxt.dll/202
IE: {{27914077-B4D6-4A0E-9763-76B6E9DD9A81} - c:\buyertoolsreminder\ReminderIE.exe
LSP: c:\programme\FRITZ!DSL\sarah.dll
Trusted Zone: adclixx.de\www
TCP: {1A7B4DC9-B06D-4960-814A-E08CC27158F3} = 192.168.122.252,192.168.122.253
FF - ProfilePath - c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Mozilla\Firefox\Profiles\c4v9zajy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.prosieben.de/index.php?icqpath=icq
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-09 19:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1412)
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
c:\programme\FRITZ!DSL\avmcsock.dll
c:\programme\FRITZ!DSL\avmufc.dll

- - - - - - - > 'explorer.exe'(2164)
c:\programme\ICQ6Toolbar\ICQToolBar.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Symantec Shared\CCSETMGR.EXE
c:\programme\Gemeinsame Dateien\Symantec Shared\CCEVTMGR.EXE
c:\programme\Gemeinsame Dateien\Symantec Shared\CCPROXY.EXE
c:\programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\windows\system32\wdfmgr.exe
c:\orbitdownloader\orbitnet.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-09 19:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-09 17:38
ComboFix2.txt 2009-07-08 23:26

Vor Suchlauf: 45 Verzeichnis(se), 30.752.989.184 Bytes frei
Nach Suchlauf: 45 Verzeichnis(se), 30.809.051.136 Bytes frei

261 --- E O F --- 2009-07-08 22:37

Zitat:

Zitat von john.doe

*kurz einspringe*

Hallo Manuela

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"=-
"SunJavaUpdateSched"=-
"TkBellExe"=-
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"=-
"NoActiveDesktopChanges"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
c:\dokumente und einstellungen\Manuela\Anwendungsdaten\Azureus
c:\programme\Azureus

File::
c:\windows\system32\drivers\fidbox.dat
c:\windows\REGBK00.ZIP
c:\windows\system32\drivers\fidbox.idx
c:\windows\winsbak2.reg
c:\windows\winsbak.reg
c:\windows\system32\pavuppad.exe
C:\WINDOWS\internat.exe
C:\WINDOWS\system32\twext.exe

DirLook::
C:\PUB
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Huhu Angel!

Hab ich gemacht, aber packen ging nicht, wurde immer gesagt, daß das nicht geht, weil die automatisch gepackt werden, ich hoffe bloß, daß ich das richtige Teil geschickt hab..menno fühl mich immer gehürnplonder (

Zitat:

Zitat von Angel21

Hallo,

lade die Quarantäne von Combofix bitte bei unseren Upload Channel hoch.
C:\QooBox\Quarantine ist der Pfad.
Packe es mit ZIP oder RAR und deaktiviere Norton bitte dabei.

Bitte NACH dem Script Durchlauf hochladen. Das auch die neuen Datein mit dabei sind.

Lade die Quarantäne von Combofix bitte bei materialordner.de und schicke mir den Link bittze als PN (Private Nachricht!) zu.