Nein.

ciao, andreas

Was heißt denn im Systemtray?^^ Steht das nicht unter Prozesse? Sorry ich bin 1. unwissend und 2. mach ich mir glaub zuviele Sorgen ^^

Zitat:

Was heißt denn im Systemtray?

Das ist der Bereich unten rechts. Dort steht Datum und Uhrzeit und einige Symbole. Mausklick rechts auf die Symbole => Beenden (falls möglich), Doppelklick auf die Symbole => Beenden (falls möglich), danach ComboFix starten.

ciao, andreas

So ich denk ich werds jetzt mal probiern . Wünsch mir Glück

Ich drücke dir die Daumen.

ciao, andreas

So bin durch
Hier der Log:


ComboFix 09-08-08.04 - Hambe 09.08.2009 20:09.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3070.2539 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Hambe\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

((((((((((((((((((((((( Dateien erstellt von 2009-07-09 bis 2009-08-09 ))))))))))))))))))))))))))))))
.

2009-08-08 12:57 . 2009-08-08 14:00 -------- d-----w- c:\programme\Garena
2009-08-06 22:50 . 2009-08-06 22:50 -------- d-----w- c:\programme\CCleaner
2009-08-06 22:49 . 2009-08-06 22:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-08-04 21:41 . 2009-08-04 21:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Syncrosoft
2009-08-04 21:41 . 2009-08-04 21:41 2892 ----a-w- c:\windows\system32\audcon.sys
2009-07-24 12:43 . 2000-01-04 22:20 86016 ----a-w- c:\windows\unvise32qt.exe
2009-07-24 12:42 . 2009-07-24 12:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\QuickTime
2009-07-24 12:42 . 2009-07-24 12:43 -------- d-----w- c:\windows\system32\QuickTime
2009-07-24 12:42 . 2009-07-24 12:43 -------- d-----w- c:\programme\QuickTime
2009-07-22 22:19 . 2009-07-22 22:20 -------- d-----w- C:\rsit
2009-07-22 21:43 . 2009-07-22 21:43 -------- d-----w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\Malwarebytes
2009-07-22 21:43 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 21:43 . 2009-07-22 21:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-22 21:43 . 2009-07-22 21:43 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-22 21:43 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 18:03 . 2009-08-05 20:08 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-22 18:03 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-22 18:03 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-22 18:03 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-22 18:03 . 2009-07-22 18:03 -------- d-----w- c:\programme\Avira
2009-07-22 18:03 . 2009-07-22 18:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-07-18 11:54 . 2009-07-18 11:54 -------- d-----w- c:\dokumente und einstellungen\Hambe\Lokale Einstellungen\Anwendungsdaten\World in Conflict
2009-07-18 11:43 . 2007-03-15 14:57 443752 ----a-w- c:\windows\system32\d3dx10_33.dll
2009-07-18 11:43 . 2007-03-12 14:42 1123696 ----a-w- c:\windows\system32\D3DCompiler_33.dll
2009-07-18 11:42 . 2007-03-12 14:42 3495784 ----a-w- c:\windows\system32\d3dx9_33.dll
2009-07-18 11:17 . 2009-07-18 11:17 -------- d-----w- c:\programme\Sierra Entertainment

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-08 18:13 . 2008-10-19 17:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2009-08-06 23:23 . 2008-09-14 17:15 -------- d-----w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\Skype
2009-08-06 22:49 . 2008-09-03 19:10 -------- d-----w- c:\programme\Yahoo!
2009-08-06 22:44 . 2008-09-14 17:19 -------- d-----w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\skypePM
2009-08-06 17:03 . 2008-06-04 17:01 -------- d-----w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\teamspeak2
2009-08-05 11:27 . 2008-07-24 21:02 118894 ----a-w- c:\windows\War3Unin.dat
2009-08-04 21:42 . 2009-05-29 15:56 -------- d-----w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\Steinberg
2009-08-04 21:42 . 2009-05-29 15:51 -------- d-----w- c:\programme\Steinberg
2009-08-04 21:41 . 2009-05-29 17:53 -------- d-----w- c:\programme\Syncrosoft
2009-07-30 17:54 . 2008-12-27 12:21 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2009-07-27 11:56 . 2008-04-29 23:19 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-24 12:13 . 2008-04-29 23:28 83616 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-24 11:58 . 2008-04-29 23:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-07-23 14:55 . 2008-05-23 16:35 -------- d-----w- c:\programme\ICQToolbar
2009-06-29 15:55 . 2004-08-13 11:40 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-13 11:40 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2004-08-13 11:40 17408 ------w- c:\windows\system32\corpol.dll
2009-06-26 23:52 . 2009-06-26 23:52 76288 ----a-w- c:\windows\system32\drivers\SSHDRV82.sys
2009-06-19 11:28 . 2008-09-22 11:47 -------- d-----w- c:\programme\SlySoft
2009-06-16 14:53 . 2004-08-13 11:40 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:53 . 2004-08-13 11:40 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-12 23:54 . 2008-04-29 23:15 -------- d-----w- c:\programme\Java
2009-06-12 23:53 . 2009-06-12 23:53 152576 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-06-12 23:52 . 2009-06-12 23:52 152576 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-05 13:32 . 2009-06-05 13:32 479 ----a-w- c:\windows\eReg.dat
2009-06-04 10:38 . 2009-05-27 16:28 334912 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\baseq3\cgamex86.dll
2009-06-04 10:38 . 2009-05-27 16:28 171072 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\baseq3\uix86.dll
2009-06-04 10:37 . 2009-05-27 16:19 138944 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-06-04 10:37 . 2009-05-27 16:18 189784 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-06-04 10:37 . 2009-05-27 16:28 57344 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\pb\pbag.dll
2009-06-04 10:37 . 2009-05-27 16:28 479232 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\pb\pbsv.dll
2009-06-04 10:37 . 2009-05-27 16:28 874660 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\pb\pbcl.dll
2009-06-04 10:37 . 2009-05-27 16:28 2669632 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\baseq3\quakelive.dll
2009-06-03 19:26 . 2004-08-13 11:40 1296384 ----a-w- c:\windows\system32\quartz.dll
2009-05-27 16:59 . 2009-05-27 16:18 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-05-27 16:30 . 2009-05-27 16:28 449600 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\baseq3\qagamex86.dll
2009-05-27 16:28 . 2009-05-27 16:28 874660 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\pb\pbcls.dll
2009-05-27 16:28 . 2009-05-27 16:28 57344 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\id Software\quakelive\home\pb\pbags.dll
2009-05-27 16:19 . 2009-05-27 16:19 22328 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\PnkBstrK.sys
2009-05-27 16:19 . 2009-05-27 16:19 22328 ----a-w- c:\dokumente und einstellungen\Hambe\Anwendungsdaten\PnkBstrK.sys
2009-05-27 16:18 . 2009-05-27 16:18 2246144 ----a-w- c:\windows\system32\pbsvc.exe
2009-05-21 09:33 . 2009-06-12 23:52 410984 ----a-w- c:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-29 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-12-05 1392640]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-10-03 81920]
"PDVDDXSrv"="c:\programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 118784]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-04-29 29744]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-28 17920]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-11-17 86016]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-05-11 200069]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-21 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2007-06-13 16132608]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-11-17 1622016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hambe^Startmenü^Programme^Autostart^Xfire.lnk]
backup=c:\windows\pss\Xfire.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\AGEIA Technologies\\bin\\TrayIcon.exe"=
"c:\\Spiele\\World of Warcraft\\Launcher.exe"=
"c:\\Spiele\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic.exe"=
"c:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic_online.exe"=
"c:\\Programme\\Sierra Entertainment\\WORLD IN CONFLICT\\wic_ds.exe"=
"c:\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Spiele\\TmNationsForever\\TmForever.exe"=
"c:\\Spiele\\Unreal Tournament 2004\\System\\UT2004.exe"=
"c:\\Spiele\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Garena\\Garena.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Warcraft 3
"6112:UDP"= 6112:UDP:Warcraft 3
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R1 SSHDRV82;SSHDRV82;c:\windows\system32\drivers\SSHDRV82.sys [27.06.2009 01:52 76288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.07.2009 20:03 108289]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [29.05.2009 18:02 33792]
S3 GarenaPEngine;GarenaPEngine;\??\c:\dokume~1\Hambe\LOKALE~1\Temp\NAT5.tmp --> c:\dokume~1\Hambe\LOKALE~1\Temp\NAT5.tmp [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\54.tmp --> c:\windows\system32\54.tmp [?]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 23:10 32512]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\SynasUSB.sys [29.05.2009 17:49 18432]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-08-09 20:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\dokume~1\Hambe\LOKALE~1\Temp\NAT5.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\54.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2569287821-4068073984-1752539012-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-2569287821-4068073984-1752539012-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:63,f5,be,50,fc,6d,9a,b5,a7,04,e3,25,c9,8d,7f,e7,4f,4b,f1,70,0b,d8,eb,
01,c2,2e,d2,e4,f9,f4,63,94,a3,b0,3e,2c,2f,5d,e6,d2,cc,26,3f,60,eb,5f,4c,19,\
"??"=hex:b9,91,5c,31,82,d1,12,f2,db,32,e4,d9,49,bb,12,3c

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(4076)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Roxio\Drag-to-Disc\Shellex.dll
c:\windows\system32\DLAAPI_W.DLL
c:\programme\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-09 20:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-09 18:21

Vor Suchlauf: 16 Verzeichnis(se), 255.786.176.512 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 256.068.022.272 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

236 --- E O F --- 2009-07-30 01:01

Brauchst/spielst du das Programm Garena noch?

ciao, andreas

Hm nunja habs erst vor kurzem runtergeladen und wollts halt benutzen um schneller mit andren Spielern in Warcraft zu spieln und dann andren Spielen zusehen zu können. Ist das Programm schädlich?

Gut, dass du ComboFix laufen gelassen hast, den hat er gekillt =>

Zitat:

ADS - WINDOWS: deleted 24 bytes in 1 streams.

Zitat:

Ist das Programm schädlich?

Das habe ich noch nicht herausgefunden, aber dieser Eintrag

Zitat:

S3 GarenaPEngine;GarenaPEngine;\??\c:\dokume~1\Hambe\ LOKALE~1\Temp\NAT5.tmp --> c:\dokume~1\Hambe\LOKALE~1\Temp\NAT5.tmp [?]

sieht wie ein typischer Schädlingseintrag aus. Es kann auch ein legitimer Eintrag sein.

Lade bitte die Datei

Code: Alles auswählenAufklappen

ATTFilter

c:\dokume~1\Hambe\LOKALE~1\Temp\NAT5.tmp
         

bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Die Datei ist nicht sichtbar, das ist ein Rootkit. Markiere den Text in der Box, kopiere ihn und füge ihn im ersten Feld im Uploadchannel ein.

ciao, andreas

So habs in den Upload Channel geschickt. kA wo sowas ankommt

Ist leider nur leer angekommen, das kann mehrere Gründe haben.

1.) Die Datei existiert nicht, sie wird erst dann erzeugt, wenn Garena startet.

2.) Die Datei ist aktiv und gesperrt.

Nehmen wir einfach an, dass es kein Schädling ist und machen weiter mit den Untersuchungen.

1.) Start => Ausführen => combofix /u => OK

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

So hier der ActiveScan-Log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-09 23:36:22
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Hambe\Cookies\hambe@doubleclick[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Hambe\Cookies\hambe@atwola[1].txt
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 1
;===================================================================================================================================================== ==============================
No C:\WINDOWS\UbiSoft\SetupUbi.exe 1
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 1
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Hm und Prevx hat mir gesagt der PC sei sauber

Legst du wert auf den Google-Desktopmanager?

1.) Start => Ausführen =>

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
         

=> OK

2.) Deinstalliere (Haken setzen bei "Updates anzeigen"!):

• Adobe Reader 8.1.0
• Ask Toolbar
• Google Toolbar for Internet Explorer
• ICQ Toolbar
• J2SE Runtime Environment 5.0 Update 6
• Java(TM) 6 Update 14
• Panda Active Scan
• PrevxCSI
• Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
• Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
• Skype™ 3.8
• Weather Services
• Windows Internet Explorer 7
• Yahoo! Toolbar

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
MEMSWEEP2
JavaQuickStarterService
gusvc

RegLockDel::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=-
"Persistence"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"Google Desktop Search"=-
"Adobe Reader Speed Launcher"=-
"RoxWatchTray"=-
"NeroFilterCheck"=-
"SunJavaUpdateSched"=-
"nwiz"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupportCenter"=-
"swg"=-
"MSMSGS"=-
"ICQ"=-
"ctfmon.exe"=-

Folder::
c:\WINDOWS\system32\Macromed
C:\PROGRA~1\THEWEA~1
C:\WINDOWS\ie7
C:\Programme\AskBarDis

File::
c:\windows\system32\54.tmp

SysRst::
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

Nicht wundern, falls der Rechner in Zukunft schneller startet.

ciao, andreas

Ähm das Combofix Symbol ist aber seit dem Uninstall nicht mehr da^^