Desktop hat sich verändert

Linkk · 23.12.2009, 15:00

schade...
hier ist mti RSIT log ^^

ich seh grad dass da mein name steht aber is ja nur mein vorname....

neu aufsetzen würde das problem beheben oder? das wollte ich sowieschon lange mal wieder machen ^^

cosinus · 23.12.2009, 15:29

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | cchost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | winupdate86.exe

files to delete:
C:\Dokumente und Einstellungen\Bjarne\Anwendungsdaten\9.exe
C:\WINDOWS\system32\winupdate86.exe
C:\WINDOWS\system32\AVR10.exe
C:\WINDOWS\system32\winhelper86.dll
C:\WINDOWS\system32\winlogon86.exe
C:\WINDOWS\system32\~.exe
C:\WINDOWS\system32\cchost.exe
C:\Sfs.tmp

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Linkk · 23.12.2009, 15:34

^^ Asche üebr mein Haupt ich hab eben erst den Button "ausgewählte Dateien löschen" gesehen

Naja jetzt is der desktop weider normal und pop-ups sind auch noch keine gekommen

ich lasse malware grad nochmal scannen und nach resten suchen...
Danke sehr an alle

cosinus · 23.12.2009, 15:36

Du sollst den Avenger anwenden!!

Linkk · 23.12.2009, 16:29

so aoll cih den komplotten log uppen? also da steht kein rootkit gefunden...

ahc egal heir ist er ^^

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\***\Anwendungsdaten\9.exe" deleted successfully.

Error:  file "C:\WINDOWS\system32\winupdate86.exe" not found!
Deletion of file "C:\WINDOWS\system32\winupdate86.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\AVR10.exe" not found!
Deletion of file "C:\WINDOWS\system32\AVR10.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\winhelper86.dll" not found!
Deletion of file "C:\WINDOWS\system32\winhelper86.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\winlogon86.exe" not found!
Deletion of file "C:\WINDOWS\system32\winlogon86.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\~.exe" not found!
Deletion of file "C:\WINDOWS\system32\~.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\cchost.exe" not found!
Deletion of file "C:\WINDOWS\system32\cchost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error: "C:\Sfs.tmp" is a folder, not a file!
Deletion of file "C:\Sfs.tmp" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cchost.exe" deleted successfully.

Error:  could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|winupdate86.exe"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|winupdate86.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

cosinus · 23.12.2009, 19:34

Ok, nun bitte noch einen Durchlauf mit Combofix, ich hoffe, wir sind dann durch:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Linkk · 24.12.2009, 00:42

so hier ist der log

Code:

ATTFilter

ComboFix 09-12-22.09 - Bjarne 24.12.2009   0:21.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2801 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Bjarne\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\EventSystem.log
c:\windows\system32\BReWErS.dll
c:\windows\system32\Data
c:\windows\system32\SIntf16.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-23 bis 2009-12-23  ))))))))))))))))))))))))))))))
.

2009-12-23 19:09 . 2009-12-23 19:10	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\TS3Client
2009-12-23 13:58 . 2009-12-23 13:58	--------	d-----w-	c:\programme\trend micro
2009-12-23 13:58 . 2009-12-23 13:58	--------	d-----w-	C:\rsit
2009-12-22 23:41 . 2009-12-22 23:41	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Malwarebytes
2009-12-22 23:41 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-22 23:41 . 2009-12-22 23:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-22 23:41 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-22 23:22 . 2009-12-22 23:22	388096	----a-r-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2009-12-18 19:47 . 2009-12-18 19:51	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Tropico 3
2009-12-14 21:02 . 2009-12-14 21:02	--------	d-----w-	c:\windows\Performance
2009-12-14 21:02 . 2009-12-14 21:02	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
2009-12-14 21:01 . 2009-12-14 21:01	--------	d-----w-	c:\programme\Microsoft Windows 7 Upgrade Advisor
2009-12-14 20:26 . 2009-12-14 20:26	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\ASCOMP Software
2009-12-12 10:15 . 2007-05-13 11:24	86683	----a-w-	c:\windows\system32\pthreadGC2.dll
2009-12-10 21:17 . 2009-12-10 21:17	--------	d-----w-	C:\Sfs.tmp
2009-12-10 17:53 . 2009-12-10 17:53	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\Yahoo!
2009-12-10 16:03 . 2009-12-10 19:27	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Steganos
2009-12-09 22:05 . 2009-12-09 22:05	--------	d-----w-	c:\programme\Microsoft Visual Studio 8
2009-12-02 15:40 . 2009-12-02 15:40	23600	----a-w-	c:\windows\system32\drivers\TVICHW32.SYS
2009-12-02 15:40 . 2009-12-02 15:40	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\eSupport.com
2009-12-01 20:32 . 2009-12-01 20:32	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
2009-12-01 19:26 . 2009-12-01 19:26	38208	----a-w-	c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-01 19:26 . 2009-12-01 19:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-23 15:27 . 2007-02-24 08:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-12-21 17:21 . 2008-11-11 16:08	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\gtk-2.0
2009-12-12 10:26 . 2009-04-19 15:16	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp
2009-12-11 22:48 . 2009-01-11 16:11	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Skype
2009-12-11 22:45 . 2009-10-19 18:52	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\skypePM
2009-12-10 15:23 . 2001-08-23 12:00	95142	----a-w-	c:\windows\system32\perfc007.dat
2009-12-10 15:23 . 2001-08-23 12:00	486800	----a-w-	c:\windows\system32\perfh007.dat
2009-12-09 22:06 . 2008-08-20 15:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-02 17:46 . 2007-02-24 07:09	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-25 17:45 . 2008-10-02 18:48	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Xfire
2009-11-22 14:38 . 2009-11-22 14:38	4876	----a-w-	c:\dokumente und einstellungen\Bjarne\FilterData.dat
2009-11-21 19:35 . 2009-01-07 15:51	139584	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-11-21 19:35 . 2009-01-07 15:50	189104	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-11-21 19:30 . 2009-11-21 19:24	--------	d-----w-	c:\programme\NCSoft
2009-11-21 18:57 . 2009-07-06 19:46	--------	d-----w-	c:\programme\Pando Networks
2009-11-21 00:49 . 2009-11-21 00:49	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2009-11-20 23:41 . 2009-01-07 15:50	75064	----a-w-	c:\windows\system32\PnkBstrA.exe
2009-11-17 21:03 . 2007-12-11 15:55	413696	----a-w-	c:\windows\system32\wrap_oal.dll
2009-11-17 21:03 . 2007-12-11 15:55	110592	----a-w-	c:\windows\system32\OpenAL32.dll
2009-11-07 12:54 . 2009-06-20 17:04	107888	----a-w-	c:\windows\system32\CmdLineExt.dll
2009-11-06 02:14 . 2009-11-06 02:14	41872	----a-w-	c:\windows\system32\xfcodec.dll
2009-11-04 16:17 . 2008-10-23 19:14	--------	d-----w-	c:\programme\Java
2009-11-04 16:16 . 2009-11-04 16:16	152576	----a-w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-02 20:28 . 2009-10-09 21:16	--------	d-----w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Teeworlds
2009-10-29 07:40 . 2002-08-29 01:43	916480	----a-w-	c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2007-02-24 07:32	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-21 05:38 . 2007-02-24 07:32	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-20 16:20 . 2007-02-24 07:32	265728	------w-	c:\windows\system32\drivers\http.sys
2009-10-15 13:01 . 2009-10-15 13:01	10134	----a-r-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Microsoft\Installer\{3101CB58-3482-4D21-AF1A-7057FC935355}\ARPPRODUCTICON.exe
2009-10-13 10:32 . 2002-08-29 01:43	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-13 02:22 . 2009-02-03 10:42	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2009-10-12 13:38 . 2002-08-29 01:43	79872	----a-w-	c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2002-08-29 01:43	150528	----a-w-	c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2008-10-23 19:14	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-10-06 19:40 . 2007-02-24 09:07	74464	----a-w-	c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-05 13:37 . 2007-02-24 14:25	1324	----a-w-	c:\windows\system32\d3d9caps.dat
2009-09-27 16:19 . 2009-09-27 16:19	3674112	----a-w-	c:\windows\system32\nvwssr.dll
2009-09-27 14:12 . 2009-09-27 14:12	888832	----a-w-	c:\windows\system32\nvapi.dll
2009-09-27 14:12 . 2009-09-27 14:12	2194024	----a-w-	c:\windows\system32\nvcuvid.dll
2009-09-27 14:12 . 2009-09-27 14:12	2007040	----a-w-	c:\windows\system32\nvcuda.dll
2009-09-27 14:12 . 2009-09-27 14:12	1714792	----a-w-	c:\windows\system32\nvcuvenc.dll
2009-09-27 14:12 . 2009-09-27 14:12	170600	----a-w-	c:\windows\system32\nvcodins.dll
2009-09-27 14:12 . 2009-09-27 14:12	170600	----a-w-	c:\windows\system32\nvcod.dll
2009-09-27 14:12 . 2009-09-27 14:12	1604482	----a-w-	c:\windows\system32\nvdata.bin
2009-09-27 14:12 . 2009-09-27 14:12	10756096	----a-w-	c:\windows\system32\nvoglnt.dll
2009-09-27 14:12 . 2007-02-24 07:32	7655872	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2009-09-27 14:12 . 2007-02-24 07:32	5900416	----a-w-	c:\windows\system32\nv4_disp.dll
2009-09-26 11:59 . 2009-09-26 11:59	152576	----a-w-	c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-01-25 10:38 . 2009-01-25 10:38	24	--sh--w-	c:\windows\S62F46343.tmp
2006-05-03 10:06 . 2008-04-16 17:31	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-04-16 17:31	31232	--sh--r-	c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-04-16 17:31	27648	--sh--w-	c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-11-17 53341]
"TBPanel"="c:\programme\Vtune\TBPanel.exe" [2009-03-17 2158592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-23 266497]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-11 16267776]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SetRefresh"="c:\programme\COMPAQ\SetRefresh\\SetRefresh.exe" [2003-11-20 525824]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"P17Helper"="P17.dll" [2005-05-03 64512]
"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="d:\programme\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="d:\programme\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-09-23 1657448]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Bjarne\Startmen\Programme\Autostart\
SpeedFan.lnk - k:\programme\SpeedFan\speedfan.exe [2009-8-9 3986552]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - k:\programme\Logitech\SetPoint\SetPoint.exe [2009-9-20 813584]
Microsoft Office.lnk - d:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Namo APM-Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Namo APM-Manager.lnk
backup=c:\windows\pss\Namo APM-Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Bjarne^Startmenü^Programme^Autostart^Xfire.lnk]
path=c:\dokumente und einstellungen\Bjarne\Startmenü\Programme\Autostart\Xfire.lnk
backup=c:\windows\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-02 03:57	203928	----a-w-	k:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-03-14 11:55	486856	----a-w-	d:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]
2008-10-13 18:41	50472	------w-	e:\programme\CyberLink\PowerDVD9\PowerDVD9\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18	413696	----a-w-	d:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl9]
2009-02-16 07:55	87336	------w-	e:\programme\CyberLink\PowerDVD9\PowerDVD9\PDVD9Serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2008-11-07 13:31	21633320	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\WS_FTP Pro\\wsftppro.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Programme\\Xfire\\xfire.exe"=
"d:\\Programme\\Teeworld\\teeworlds-0.4.3-win32\\teeworlds_srv.exe"=
"d:\\Programme\\Namo\\WebEditor 2006\\bin\\WebEditor.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Programme\\Namo\\WebBoard Trial\\Server\\MySQL\\bin\\mysqld.exe"=
"d:\\Programme\\Namo\\WebBoard Trial\\Server\\Apache\\Apache.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"d:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"d:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"d:\\Programme\\Autodesk\\Backburner\\server.exe"=
"e:\\Programme\\ICQ6.5\\ICQ.exe"=
"h:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"=
"h:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"=
"k:\\PSP\\UMD Dax Dumper\\umddaxdumper02\\PC\\nethostfs.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"k:\\Programme\\Autodesk\\Maya8.5\\bin\\maya.exe"=
"k:\\Programme\\Sony\\Media Manager for PSP\\MediaManager.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"h:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\Anno4.exe"=
"h:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"h:\\Programme\\Metin2_Germany\\metin2.bin"=
"k:\\Programme\\Java\\jdk1.6.0_02\\jre\\bin\\java.exe"=
"k:\\Programme\\Steam\\Steam.exe"=
"h:\\Programme\\Activision\\Modern Warfare 2\\iw4sp.exe"=
"h:\\ISOs\\Call of Duty 4\\iw3mp.exe"=
"k:\\Programme\\Steam\\SteamApps\\common\\left 4 dead 2 demo\\left4dead2.exe"=
"h:\\Riot Games\\League of Legends\\air\\LolClient.exe"=
"h:\\Riot Games\\League of Legends\\game\\League of Legends.exe"=
"h:\\Riot Games\\League of Legends\\lol.launcher.exe"=
"k:\\Programme\\Steam\\SteamApps\\common\\world of goo demo\\WorldOfGoo.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"59064:TCP"= 59064:TCP:Pando Media Booster
"59064:UDP"= 59064:UDP:Pando Media Booster
"8370:TCP"= 8370:TCP:League of Legends Launcher
"8370:UDP"= 8370:UDP:League of Legends Launcher
"8372:TCP"= 8372:TCP:League of Legends Launcher
"8372:UDP"= 8372:UDP:League of Legends Launcher
"6933:TCP"= 6933:TCP:League of Legends Launcher
"6933:UDP"= 6933:UDP:League of Legends Launcher
"8393:TCP"= 8393:TCP:League of Legends Lobby
"8393:UDP"= 8393:UDP:League of Legends Lobby
"8390:TCP"= 8390:TCP:League of Legends Game Client
"8390:UDP"= 8390:UDP:League of Legends Game Client
"6965:TCP"= 6965:TCP:League of Legends Launcher
"6965:UDP"= 6965:UDP:League of Legends Launcher
"6945:TCP"= 6945:TCP:League of Legends Launcher
"6945:UDP"= 6945:UDP:League of Legends Launcher

R0 MFX;MFX; [x]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [20.09.2007 18:40 11904]
R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [01.07.2008 18:55 2368]
R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [20.09.2007 18:40 207872]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [20.09.2007 18:39 11776]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [20.09.2007 18:40 299776]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [20.09.2007 18:39 498176]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [20.09.2007 18:39 23552]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.01.2009 14:31 717296]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [24.01.2009 11:31 16512]
S3 CBPMp50;CBPMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\CBPMp50.sys --> c:\windows\system32\Drivers\CBPMp50.sys [?]
S3 CBPSp50;CBPSp50 NDIS Protocol Driver;c:\windows\system32\drivers\CBPSp50.sys [21.09.2008 16:11 27072]
S3 libusb0;LibUsb-Win32 - Kernel Driver 11/20/2005, 20051120;c:\windows\system32\drivers\libusb0.sys [03.02.2009 14:51 29184]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PsSdk41;PsSdk41;c:\windows\system32\drivers\pssdk41.sys [18.05.2008 18:56 36928]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
IE: E&xport to Microsoft Excel - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Namo SWF Catcher - c:\programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
Trusted Zone: joomlaos.de\www
Trusted Zone: spieleforum.de\www
Trusted Zone: travian.at\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Bjarne\Anwendungsdaten\Mozilla\Firefox\Profiles\0qv2sfnl.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - YouTube
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - plugin: c:\dokumente und einstellungen\Bjarne\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: k:\programme\Opera\program\plugins\npdsplay.dll
FF - plugin: k:\programme\Opera\program\plugins\npwmsdrm.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{EEE6C35D-6118-11DC-9C72-001320C79847} - c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
BHO-{EEE6C35C-6118-11DC-9C72-001320C79847} - c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
HKCU-Run-PlayNC Launcher - (no file)
MSConfigStartUp-CloneCDTray - d:\programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-EA Core - d:\programme\Electronic Arts\EADM\Core.exe
MSConfigStartUp-ICQ - ~e:\programme\ICQ6.5\ICQ.exe
MSConfigStartUp-PhonostarTimer - e:\programme\phonostar\ps_timer.exe
MSConfigStartUp-ZangoOE - c:\programme\Zango\bin\10.3.84.0\OEAddOn.exe
MSConfigStartUp-ZangoSA - c:\programme\Zango\bin\10.3.84.0\ZangoSA.exe
AddRemove-cchost_is1 - c:\programme\cchost\unins000.exe
AddRemove-InstallShield_{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8} - c:\programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\Setup.exe
AddRemove-TmNationsForever_is1 - d:\programme\TmNationsForever\unins000.exe
AddRemove-TQVault_is1 - k:\dokumente und einstellungen\Bjarne\Eigene Dateien\My Games\Titan Quest\TQVault\unins000.exe
AddRemove-WiFiConnector - c:\programme\WiFiConnector\SoftAPUninst.exe
AddRemove-{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775} - c:\programme\InstallShield Installation Information\{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}\Setup.exe
AddRemove-{60DE4033-9503-48D1-A483-7846BD217CA9} - c:\programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe
AddRemove-{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8} - c:\programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\Setup.exe
AddRemove-{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} - c:\programme\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\Sims3Setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-24 00:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\windows\system32\drivers\mfx.sys 51472 bytes executable
C:\SYZ_DAT

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-746137067-1935655697-682003330-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:41,4e,d6,dd,96,d0,cc,92,6d,30,33,e7,7e,ca,3d,76,bf,9f,6d,fb,b4,cc,d1,
   85,f5,f2,42,fb,fc,20,49,6a,fe,1d,fe,40,f5,81,e3,07,4c,95,8c,ff,f3,68,1b,88,\
"??"=hex:80,c6,b2,a4,dc,7b,7a,d8,df,d4,8b,91,32,a4,fd,d7

[HKEY_USERS\S-1-5-21-746137067-1935655697-682003330-1005\Software\SecuROM\License information*]
"datasecu"=hex:cc,6d,d5,b0,7c,5c,86,21,a6,20,7b,a4,4b,18,fb,ca,79,42,f9,df,0f,
   d1,66,4c,f4,b5,0a,f5,1d,7b,96,83,e2,7c,e3,10,5b,be,b3,3e,2d,43,5b,c3,71,e9,\
"rkeysecu"=hex:64,b6,bd,e1,3e,80,9e,c4,40,b4,90,83,87,8e,33,49

[HKEY_USERS\S-1-5-21-746137067-1935655697-682003330-1005\Software\Sony Creative Software\M*e*d*i*a* *M*a*n*a*g*e*r* *f*o*r* *P*S*P*"!\3.0]
"FRT"="xZa16ZFbaVfFIplXJZ434zra3hRAzCAaYnv7mMz65fRBxgxKKPKfow=="
"PLCK"="hf52xbsngIxkUy/5ISnjRlJifrCnF3sy"
"Percents"="0.002 0.0757 0.259 0.4974 0.7554 0.8987 0.9058 "
"Increment"=".004167"
"PHSH"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Zeit der Fertigstellung: 2009-12-24  00:30:09
ComboFix-quarantined-files.txt  2009-12-23 23:30

Vor Suchlauf: 4.464.521.216 Bytes frei
Nach Suchlauf: 4.669.599.744 Bytes frei

- - End Of File - - 22DB4ED3DC1A74C0B324A88EAA031D10

ist es normal dass der internet explorer wieder mein standartbrowser ist?

cosinus · 24.12.2009, 08:19

So, nun muss ich Dir mal auffe Finger kloppen (auch wenn Weihnachten ist)!!

Zitat:

H:\ISOs\Adobe_Photoshop_CS4_Extended_v11_German\Photoshop CS4 Anleitung\Keygen.exe

Du hast Dir den Schlamassel mit dme Keygen selbst eingebrockt und fahrlässig in Kauf genommen!

Außerdem, die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Linkk · 25.12.2009, 20:50

:P
^^ ja ich weiß ^^
und nochmal danke für alles eght wieder alles super

23.12.2009, 15:36	#19
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Desktop hat sich verändert Du sollst den Avenger anwenden!! __________________ Logfiles bitte immer in CODE-Tags posten

Desktop hat sich verändert

Plagegeister aller Art und deren Bekämpfung: Desktop hat sich verändert