Trojaner-Board - Offen 50 Trojaner auf dem PC :-(

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- -

50 Trojaner auf dem PC :-( (https://www.trojaner-board.de/70924-50-trojaner-pc.html)

50 Trojaner auf dem PC :-(

Ersteinmal ein großes Lob an die Forenbetreiber
Ich habe auch ein Problem mit meinem PC

Gestern hatte ich einen Virenscann mit Avira durchlaufen lassen wir hatten 60 Trojaner drauf. Ich wollte Kaspersky laden und da stand immer fehlgeschlagen ich kann es nicht mehr laden

Heute habe ich nach Anleitung den Cleaner und den Malwarebytes-Anti-Malware durchlaufen lassen
Ich bin ein wirklicher Laie was PC's angeht Ich hoffe das mir jemand helfen kann

Hier die Auswertungen

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1836

Windows 5.1.2600 Service Pack 3
 

11.03.2009 18:42:32

mbam-log-2009-03-11 (18-42-32).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 144304

Laufzeit: 55 minute(s), 21 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 9

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Mumi\Desktop\Programme\nero8keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:57:46, on 11.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Athan\Athan.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Dokumente und Einstellungen\Mumi\Desktop\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dailyhadith.de/#

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mp3indirnet.com/

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: 62.75.224.159 www.bns1.net

O1 - Hosts: 62.75.224.159 www.bns2.net

O1 - Hosts: 62.75.224.159 www.bns3.net

O1 - Hosts: 62.75.224.159 www.bns4.net

O1 - Hosts: 62.75.224.159 www.bns5.net

O1 - Hosts: 62.75.224.159 www.bns6.net

O1 - Hosts: 62.75.224.159 www.bns7.net

O1 - Hosts: 62.75.224.159 www.bns8.net

O1 - Hosts: 62.75.224.159 www.cms1.net

O1 - Hosts: 62.75.224.159 www.cms2.net

O1 - Hosts: 62.75.224.159 www.cms3.net

O1 - Hosts: 62.75.224.159 www.cms4.net

O1 - Hosts: 62.75.224.159 www.cms5.net

O1 - Hosts: 62.75.224.159 www.cms6.net

O1 - Hosts: 62.75.224.159 www.cms7.net

O1 - Hosts: 62.75.224.159 www.cms8.net

O1 - Hosts: 62.75.224.159 www.rg1.com

O1 - Hosts: 62.75.224.159 www.rg2.com

O1 - Hosts: 62.75.224.159 www.rg3.com

O1 - Hosts: 62.75.224.159 www.rg4.com

O1 - Hosts: 62.75.224.159 www.rg5.com

O1 - Hosts: 62.75.224.159 www.rg6.com

O1 - Hosts: 62.75.224.159 www.rg7.com

O1 - Hosts: 62.75.224.159 www.rg8.com

O1 - Hosts: 62.75.224.159 www.cjt1.net

O1 - Hosts: 62.75.224.159 www.rgs1.net

O1 - Hosts: 62.75.224.159 www.rgs2.net

O1 - Hosts: 62.75.224.159 www.bns1.net

O1 - Hosts: 62.75.224.159 www.bns2.net

O1 - Hosts: 62.75.224.159 www.cms1.net

O1 - Hosts: 62.75.224.159 www.cms2.net

O1 - Hosts: 62.75.224.159 bns1.net

O1 - Hosts: 62.75.224.159 bns2.net

O1 - Hosts: 62.75.224.159 bns3.net

O1 - Hosts: 62.75.224.159 bns4.net

O1 - Hosts: 62.75.224.159 bns5.net

O1 - Hosts: 62.75.224.159 bns6.net

O1 - Hosts: 62.75.224.159 bns7.net

O1 - Hosts: 62.75.224.159 bns8.net

O1 - Hosts: 62.75.224.159 cms1.net

O1 - Hosts: 62.75.224.159 cms2.net

O1 - Hosts: 62.75.224.159 cms3.net

O1 - Hosts: 62.75.224.159 cms4.net

O1 - Hosts: 62.75.224.159 cms5.net

O1 - Hosts: 62.75.224.159 cms6.net

O1 - Hosts: 62.75.224.159 cms7.net

O1 - Hosts: 62.75.224.159 cms8.net

O1 - Hosts: 62.75.224.159 rg1.com

O1 - Hosts: 62.75.224.159 rg2.com

O1 - Hosts: 62.75.224.159 rg3.com

O1 - Hosts: 62.75.224.159 rg4.com

O1 - Hosts: 62.75.224.159 rg5.com

O1 - Hosts: 62.75.224.159 rg6.com

O1 - Hosts: 62.75.224.159 rg7.com

O1 - Hosts: 62.75.224.159 rg8.com

O1 - Hosts: 62.75.224.159 cjt1.net

O1 - Hosts: 62.75.224.159 rgs1.net

O1 - Hosts: 62.75.224.159 rgs2.net

O1 - Hosts: 62.75.224.159 bns1.net

O1 - Hosts: 62.75.224.159 bns2.net

O1 - Hosts: 62.75.224.159 cms1.net

O1 - Hosts: 62.75.224.159 cms2.net

O1 - Hosts: 62.75.224.159 j800banners.cjt1.net

O1 - Hosts: 62.75.224.159 jadlogix.cjt1.net

O1 - Hosts: 62.75.224.159 jadtegrity.cjt1.net

O1 - Hosts: 62.75.224.159 jaimmedia.cjt1.net

O1 - Hosts: 62.75.224.159 javatar.cjt1.net

O1 - Hosts: 62.75.224.159 jbeet.cjt1.net

O1 - Hosts: 62.75.224.159 jbigpops.cjt1.net

O1 - Hosts: 62.75.224.159 jbouncetek.cjt1.net

O1 - Hosts: 62.75.224.159 jbravenet.cjt1.net

O1 - Hosts: 62.75.224.159 jcdcover.cjt1.net

O1 - Hosts: 62.75.224.159 jclickspring.cjt1.net

O1 - Hosts: 62.75.224.159 jcollegehumor.cjt1.net

O1 - Hosts: 62.75.224.159 jdownloadacc.cjt1.net

O1 - Hosts: 62.75.224.159 jedonkey.cjt1.net

O1 - Hosts: 62.75.224.159 jeuniverse.cjt1.net

O1 - Hosts: 62.75.224.159 jhot.cjt1.net

O1 - Hosts: 62.75.224.159 jicmedia.cjt1.net

O1 - Hosts: 62.75.224.159 jicq.cjt1.net

O1 - Hosts: 62.75.224.159 jieplugin.cjt1.net

O1 - Hosts: 62.75.224.159 jinternetoptimizer.cjt1.net

O1 - Hosts: 62.75.224.159 jmediabuy1.cjt1.net

O1 - Hosts: 62.75.224.159 jmediabuyad.cjt1.net

O1 - Hosts: 62.75.224.159 jmindset.cjt1.net

O1 - Hosts: 62.75.224.159 jmindsettest.cjt1.net

O1 - Hosts: 62.75.224.159 jnictech.cjt1.net

O1 - Hosts: 62.75.224.159 jnova.cjt1.net

O1 - Hosts: 62.75.224.159 jpiolet.cjt1.net

O1 - Hosts: 62.75.224.159 jsanboxer.cjt1.net

O1 - Hosts: 62.75.224.159 jsercee.cjt1.net

O1 - Hosts: 62.75.224.159 jthedelfin.cjt1.net

O1 - Hosts: 62.75.224.159 jwarezp2p.cjt1.net

O1 - Hosts: 62.75.224.159 jwildmedia.cjt1.net

O1 - Hosts: 62.75.224.159 mediabuy-nic.cjt1.net

O1 - Hosts: 62.75.224.159 www.m7z.net

O1 - Hosts: 62.75.224.159 m7z.net

O1 - Hosts: 62.75.224.159 jcms.cydoor.com

O1 - Hosts: 62.75.224.159 cydoor.com

O1 - Hosts: 62.75.224.159 www.cydoor.com

O1 - Hosts: 62.75.224.159 jnova.cjt1.net

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Athan] C:\Programme\Athan\Athan.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Apache USB PC Camera

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" -"http://www.diddl.de/appgen/index.php?cl=depesche&cp=onlinegames&SESSIONID=af9e0531db2b1c31093663c63f2baff3&gamesymbol=ACROBAT&cmd=stog_c&gat=Diddls Hindernislauf&gaf=hindernislauf.dcr&w=580&h=420&bgcol=FFEF02&SESSIONID=af9e0531db2b1c31093663c63f2baff3"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\267b005e1.dll"" (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://johannesbrecht.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll

O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://80.237.209.20/objects/NpFv501.dll

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5086/mcfscan.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
 

--

End of file - 13886 bytes

Code:

Acoustica Effects Pack

Adobe Flash Player ActiveX

Adobe Reader 8.1.3 - Deutsch

Adobe Shockwave Player

Apache USB PC Camera

Athan Basic 3.1

ATI Display Driver

CCleaner (remove only)

DivX Codec

DivX Content Uploader

DivX Converter

DivX Player

DivX Web Player

ExplorerXP (remove only)

G DATA Logox4 Speechengine

GOM Player

Google Toolbar for Internet Explorer

Google Toolbar for Internet Explorer

HijackThis 2.0.2

Hotfix für Windows Internet Explorer 7 (KB947864)

Hotfix für Windows XP (KB952287)

HP Extended Capabilities 5.3

HP Image Zone 5.3

HP Image Zone Express

HP Imaging Device Functions 5.3

HP PSC & OfficeJet 5.3.B

HP Software Update

J2SE Runtime Environment 5.0

Java(TM) 6 Update 11

Java(TM) 6 Update 2

Java(TM) 6 Update 3

Java(TM) 6 Update 5

Java(TM) 6 Update 7

Malwarebytes' Anti-Malware

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 German Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 2.0 Service Pack 1

Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU

Microsoft .NET Framework 3.0 Service Pack 1

Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU

Microsoft .NET Framework 3.5

Microsoft .NET Framework 3.5

Microsoft .NET Framework 3.5 Language Pack - deu

Microsoft .NET Framework 3.5 Language Pack - DEU

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft Kernel-Mode Driver Framework Feature Pack 1.5

Microsoft National Language Support Downlevel APIs

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2005 Redistributable

Microsoft Works

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

MSXML 6 Service Pack 2 (KB954459)

Nero 8 Trial

neroxml

Nimo Codecs Pack v5.0 (Remove Only)

NVIDIA Drivers

OpenMG Limited Patch 4.7-07-14-05-01

OpenMG Secure Module 4.7.00

PC-DTV Receiver

PDF Manual NW-A800 Series

Real Alternative 1.7.5

Realtek High Definition Audio Driver

Scientific-Atlanta WebSTAR 2000 series Cable Modem

Security Update for CAPICOM (KB931906)

Security Update for CAPICOM (KB931906)

Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)

Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)

Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)

Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)

Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)

Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)

Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)

Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)

Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)

Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)

Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)

Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)

Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)

Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)

Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player 10 (KB911565)

Sicherheitsupdate für Windows Media Player 10 (KB917734)

Sicherheitsupdate für Windows Media Player 10 (KB936782)

Sicherheitsupdate für Windows XP (KB938464)

Sicherheitsupdate für Windows XP (KB938464-v2)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951698)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB953839)

Sicherheitsupdate für Windows XP (KB954211)

Sicherheitsupdate für Windows XP (KB954459)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956391)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB956841)

Sicherheitsupdate für Windows XP (KB957095)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB958690)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960715)

SoftV92 Data Fax Modem with SmartCP

Sony Video Shared Library

SSC Service Utility v4.20

Uninstall 1.0.0.1

Update für Windows XP (KB951072-v2)

Update für Windows XP (KB951978)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

VCRedistSetup

Video Downloader

VideoLAN VLC media player 0.8.4a

Viewpoint Media Player (Remove Only)

Windows Imaging Component

Windows Live Anmelde-Assistent

Windows Live installer

Windows Live Messenger

Windows Live OneCare safety scanner

Windows Media Format SDK Hotfix - KB891122

Windows Media Player 10 Hotfix - KB888656

Windows XP Service Pack 3

WinRAR Archivierer

XML Paper Specification Shared Components Language Pack 1.0

Ich hoffe mir kann jemand weiter helfen

Vielen Dank im Vorraus

Ayse

moin,

Code:

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\NETWOR~1\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Mumi\ANWEND~1\MACROM~1\Common\267b005e1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Das Zeugs bring ich mit ner neuen Variante von Silentbanker in Verbindung!

Nun ja... was soll man hierzu sagen?

Code:

Infizierte Dateien:

C:\Dokumente und Einstellungen\Mumi\Desktop\Programme\nero8keygen.exe (Trojan.Agent)

Wie sagt man immer?
Sich das Rattengift kaufen, essen und dann sich beschweren, wenn einem übel ist :headbang:

Was du noch machen könntest:
Diese beiden Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner hochladen:

Code:

C:\WINDOWS\system32\sw20.exe

C:\WINDOWS\system32\sw24.exe

Ergebnisse hier posten...
Ansonsten würde ich dir ein Neuaufsetzen empfehlen.
Wer weis, was in dem Keygen alles drin war :headbang:

Gruß
Handball10

Leider hab ich diesem Mist nicht verbockt :-(
Ich bin immer dafür da hier wieder aufzuräumen. Ich halte gar nichts von diesen Programmen
Neuaufsetzen wird auch ein Problem weil meine XP cd völlig zerkratzt ist :-(
Hier die Auswertung

Code:

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.0.0.101 2009.03.12 - 

AhnLab-V3 5.0.0.2 2009.03.12 - 

AntiVir 7.9.0.109 2009.03.12 - 

Authentium 5.1.0.4 2009.03.11 - 

Avast 4.8.1335.0 2009.03.11 - 

AVG 8.0.0.237 2009.03.12 - 

BitDefender 7.2 2009.03.12 - 

CAT-QuickHeal 10.00 2009.03.11 - 

ClamAV 0.94.1 2009.03.12 - 

Comodo 1049 2009.03.11 - 

DrWeb 4.44.0.09170 2009.03.12 - 

eSafe 7.0.17.0 2009.03.11 - 

eTrust-Vet 31.6.6388 2009.03.09 - 

F-Prot 4.4.4.56 2009.03.11 - 

F-Secure 8.0.14470.0 2009.03.12 - 

Fortinet 3.117.0.0 2009.03.11 - 

GData 19 2009.03.12 - 

Ikarus T3.1.1.45.0 2009.03.12 - 

K7AntiVirus 7.10.667 2009.03.11 - 

Kaspersky 7.0.0.125 2009.03.12 - 

McAfee 5550 2009.03.11 - 

McAfee+Artemis 5550 2009.03.11 - 

Microsoft 1.4405 2009.03.12 - 

NOD32 3929 2009.03.11 - 

Norman 6.00.06 2009.03.11 - 

nProtect 2009.1.8.0 2009.03.12 - 

Panda 10.0.0.10 2009.03.12 - 

PCTools 4.4.2.0 2009.03.11 - 

Prevx1 V2 2009.03.12 - 

Rising 21.20.30.00 2009.03.12 - 

SecureWeb-Gateway 6.7.6 2009.03.12 - 

Sophos 4.39.0 2009.03.12 - 

Sunbelt 3.2.1858.2 2009.03.12 - 

Symantec 1.4.4.12 2009.03.12 - 

TheHacker 6.3.3.0.280 2009.03.12 - 

TrendMicro 8.700.0.1004 2009.03.12 - 

VBA32 3.12.10.1 2009.03.11 - 

ViRobot 2009.3.12.1646 2009.03.12 - 

VirusBuster 4.5.11.0 2009.03.11 - 

weitere Informationen 

File size: 208896 bytes 

MD5...: e6fbb2b7ac79380bbe7c16192b919aeb 

SHA1..: 21976135e39314b3464978d5d632c006be3994bb 

SHA256: beedd053f8824c3bd792fa634c0d7e265d0752ba90e0186e86b13aab2094e1b6 

SHA512: 93297d103b2dbff2ca067c222c9e3fef8c03917cd866f4d5c0398a4db61d8c23

43e8085b9e0f7cad2f761d590447d9047ce152387b8a15505f498d55713f3263 

ssdeep: 3072:9Ajo0EEgR7teDS338ssZoBHTpNFQpg23zAsN5aqtzTlLgH:ykxE+JeDSH89

ZoBlMg+9DlLs

 

PEiD..: - 

TrID..: File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x104af

timedatestamp.....: 0x446bcaa8 (Thu May 18 01:15:20 2006)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x21436 0x22000 6.61 bba27e4278eeaa706e3df0d3a30fcdf2

.rdata 0x23000 0x8222 0x9000 4.66 d041f933702a6777dff4e8c22e5b6f7c

.data 0x2c000 0x663c 0x3000 2.87 048e1370aed0da5654c9e7c11ac420fe

.rsrc 0x33000 0x32c0 0x4000 4.55 6c770f72fc6d18005eea72bdd45b5e89
 

( 7 imports ) 

> KERNEL32.dll: HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetErrorMode, GetOEMCP, GetCPInfo, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, GetVersionExA, InterlockedDecrement, GetModuleFileNameW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, CreateFileA, WriteFile, CloseHandle, LoadLibraryA, GetProcAddress, FreeLibrary, lstrlenA, CompareStringA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, Sleep, InterlockedExchange

> USER32.dll: LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, UnhookWindowsHookEx, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, MessageBoxA, DrawIcon, GetDlgItem, GetNextDlgTabItem, EndDialog, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DestroyMenu, UnregisterClassA, SendMessageA, IsIconic, GetClientRect, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, PostQuitMessage, PostMessageA, CheckMenuItem, EnableMenuItem, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA

> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap

> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA

> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey

> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA

> OLEAUT32.dll: -, -, -
 

( 0 exports ) 

 

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=e6fbb2b7ac79380bbe7c16192b919aeb' target='_blank'>http://www.threatexpert.com/report.aspx?md5=e6fbb2b7ac79380bbe7c16192b919aeb</a> 

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e6fbb2b7ac79380bbe7c16192b919aeb' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e6fbb2b7ac79380bbe7c16192b919aeb</a>

Code:

a-squared 4.0.0.101 2009.03.12 - 

AhnLab-V3 5.0.0.2 2009.03.12 - 

AntiVir 7.9.0.109 2009.03.12 - 

Authentium 5.1.0.4 2009.03.11 - 

Avast 4.8.1335.0 2009.03.11 - 

AVG 8.0.0.237 2009.03.12 - 

BitDefender 7.2 2009.03.12 - 

CAT-QuickHeal 10.00 2009.03.11 - 

ClamAV 0.94.1 2009.03.12 - 

Comodo 1049 2009.03.11 - 

DrWeb 4.44.0.09170 2009.03.12 - 

eSafe 7.0.17.0 2009.03.11 - 

eTrust-Vet 31.6.6388 2009.03.09 - 

F-Prot 4.4.4.56 2009.03.11 - 

F-Secure 8.0.14470.0 2009.03.12 - 

Fortinet 3.117.0.0 2009.03.11 - 

GData 19 2009.03.12 - 

Ikarus T3.1.1.45.0 2009.03.12 - 

K7AntiVirus 7.10.667 2009.03.11 - 

Kaspersky 7.0.0.125 2009.03.12 - 

McAfee 5550 2009.03.11 - 

McAfee+Artemis 5550 2009.03.11 - 

Microsoft 1.4405 2009.03.12 - 

NOD32 3929 2009.03.11 - 

Norman 6.00.06 2009.03.11 - 

nProtect 2009.1.8.0 2009.03.12 - 

Panda 10.0.0.10 2009.03.12 - 

PCTools 4.4.2.0 2009.03.11 - 

Prevx1 V2 2009.03.12 - 

Rising 21.20.30.00 2009.03.12 - 

SecureWeb-Gateway 6.7.6 2009.03.12 - 

Sophos 4.39.0 2009.03.12 - 

Sunbelt 3.2.1858.2 2009.03.12 - 

Symantec 1.4.4.12 2009.03.12 - 

TheHacker 6.3.3.0.280 2009.03.12 - 

TrendMicro 8.700.0.1004 2009.03.12 - 

VBA32 3.12.10.1 2009.03.11 - 

ViRobot 2009.3.12.1646 2009.03.12 - 

VirusBuster 4.5.11.0 2009.03.11 - 

weitere Informationen 

File size: 69632 bytes 

MD5...: 32441ee0606c4e375dc46743489fb817 

SHA1..: 6c203ee88bc0cd764212fc55c97425ab10600bd4 

SHA256: b2302e333ccef9d6747e1357fb067e4db6ba66b7995a59fc27c273065b7c763d 

SHA512: a1c3d8426982c9a3e2395bbcd5cd936dc9eb9bd37362e822679ca72ceb544f70

eeac271be377d448870fbbe061b0bba3da5c577f5c66320ed1c8a8a40752bea8 

ssdeep: 1536:eJNVDSxWry8jweqWH3QuinwDpbgkkGRZtwyRQ:SDLf1fZt3a

 

PEiD..: - 

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x29a9

timedatestamp.....: 0x446a8c72 (Wed May 17 02:37:38 2006)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xafa6 0xb000 6.60 28745c612b94f44faba3a818c92fd271

.rdata 0xc000 0x2b1c 0x3000 5.11 a977e342d51b624adf14fd5dc4532460

.data 0xf000 0x2d38 0x1000 2.42 ec5ffa27e3ec1d30fd02c7f95e78a70d

.rsrc 0x12000 0x9f0 0x1000 3.84 9160f7270dbf051381e725cbffc143f7
 

( 2 imports ) 

> KERNEL32.dll: FreeLibrary, GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateFileA, FlushFileBuffers, GetLastError, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoA, HeapSize, GetOEMCP, GetACP, GetCPInfo, GetConsoleMode, GetConsoleCP, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, HeapAlloc, HeapFree, RaiseException, HeapReAlloc, VirtualAlloc, GetModuleHandleA, RtlUnwind, GetCommandLineA, GetVersionExA, GetProcessHeap, GetStartupInfoA, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, GetStdHandle, GetModuleFileNameA, SetUnhandledExceptionFilter, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSection, Sleep, SetFilePointer, GetThreadLocale

> USER32.dll: LoadAcceleratorsA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, CreateWindowExA, ShowWindow, UpdateWindow, SendMessageA, LoadIconA, LoadCursorA, RegisterClassExA, LoadStringA, DefWindowProcA, DestroyWindow, DialogBoxParamA, BeginPaint, EndPaint, PostQuitMessage, EndDialog
 

( 0 exports ) 

 

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=32441ee0606c4e375dc46743489fb817' target='_blank'>http://www.threatexpert.com/report.aspx?md5=32441ee0606c4e375dc46743489fb817</a> 

CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=32441ee0606c4e375dc46743489fb817' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=32441ee0606c4e375dc46743489fb817</a>

Zitat:

O1 - Hosts: 62.75.224.159 www. bns1. net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 www. bns3.net
O1 - Hosts: 62.75.224.159 www. bns4.net
O1 - Hosts: 62.75.224.159 www. bns5.net
O1 - Hosts: 62.75.224.159 www. bns6.net
O1 - Hosts: 62.75.224.159 www. bns7.net
O1 - Hosts: 62.75.224.159 www. bns8.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 Home - Main
O1 - Hosts: 62.75.224.159 Gadola Information Systems GmbH Content Management Systems Informatik Software Gadola Zürich Schweiz
O1 - Hosts: 62.75.224.159 www.cms5. net
O1 - Hosts: 62.75.224.159 www.cms6. net
O1 - Hosts: 62.75.224.159 www. cms7.net - domena utrzymywana przez e-warsaw.com
O1 - Hosts: 62.75.224.159 ??????
O1 - Hosts: 62.75.224.159 rg1.com
O1 - Hosts: 62.75.224.159 Welcome to NetStar 1
O1 - Hosts: 62.75.224.159 Renfrew Group International
O1 - Hosts: 62.75.224.159 rg4.com
O1 - Hosts: 62.75.224.159 rg5.com
O1 - Hosts: 62.75.224.159 search the web
O1 - Hosts: 62.75.224.159 rg7.com
O1 - Hosts: 62.75.224.159 Coming Soon...
O1 - Hosts: 62.75.224.159 cjt1.net
O1 - Hosts: 62.75.224.159 RGS1.NET
O1 - Hosts: 62.75.224.159 RGS2.NET
O1 - Hosts: 62.75.224.159 www. bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 bns3.net
O1 - Hosts: 62.75.224.159 bns4.net
O1 - Hosts: 62.75.224.159 bns5.net
O1 - Hosts: 62.75.224.159 bns6.net
O1 - Hosts: 62.75.224.159 bns7.net
O1 - Hosts: 62.75.224.159 bns8.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 cms3.net
O1 - Hosts: 62.75.224.159 cms4.net
O1 - Hosts: 62.75.224.159 cms5.net
O1 - Hosts: 62.75.224.159 cms6.net
O1 - Hosts: 62.75.224.159 cms7.net
O1 - Hosts: 62.75.224.159 cms8.net
O1 - Hosts: 62.75.224.159 rg1.com
O1 - Hosts: 62.75.224.159 rg2.com
O1 - Hosts: 62.75.224.159 rg3.com
O1 - Hosts: 62.75.224.159 rg4.com
O1 - Hosts: 62.75.224.159 rg5.com
O1 - Hosts: 62.75.224.159 rg6.com
O1 - Hosts: 62.75.224.159 rg7.com
O1 - Hosts: 62.75.224.159 rg8.com
O1 - Hosts: 62.75.224.159 cjt1.net
O1 - Hosts: 62.75.224.159 rgs1.net
O1 - Hosts: 62.75.224.159 rgs2.net
O1 - Hosts: 62.75.224.159 bns1.net
O1 - Hosts: 62.75.224.159 bns2.net
O1 - Hosts: 62.75.224.159 cms1.net
O1 - Hosts: 62.75.224.159 cms2.net
O1 - Hosts: 62.75.224.159 j800banners.cjt1.net
O1 - Hosts: 62.75.224.159 jadlogix.cjt1.net
O1 - Hosts: 62.75.224.159 jadtegrity.cjt1.net
O1 - Hosts: 62.75.224.159 jaimmedia.cjt1.net
O1 - Hosts: 62.75.224.159 javatar.cjt1.net
O1 - Hosts: 62.75.224.159 jbeet.cjt1.net
O1 - Hosts: 62.75.224.159 jbigpops.cjt1.net
O1 - Hosts: 62.75.224.159 jbouncetek.cjt1.net
O1 - Hosts: 62.75.224.159 jbravenet.cjt1.net
O1 - Hosts: 62.75.224.159 jcdcover.cjt1.net
O1 - Hosts: 62.75.224.159 jclickspring.cjt1.net
O1 - Hosts: 62.75.224.159 jcollegehumor.cjt1.net
O1 - Hosts: 62.75.224.159 jdownloadacc.cjt1.net
O1 - Hosts: 62.75.224.159 jedonkey.cjt1.net
O1 - Hosts: 62.75.224.159 jeuniverse.cjt1.net
O1 - Hosts: 62.75.224.159 jhot.cjt1.net
O1 - Hosts: 62.75.224.159 jicmedia.cjt1.net
O1 - Hosts: 62.75.224.159 jicq.cjt1.net
O1 - Hosts: 62.75.224.159 jieplugin.cjt1.net
O1 - Hosts: 62.75.224.159 jinternetoptimizer.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuy1.cjt1.net
O1 - Hosts: 62.75.224.159 jmediabuyad.cjt1.net
O1 - Hosts: 62.75.224.159 jmindset.cjt1.net
O1 - Hosts: 62.75.224.159 jmindsettest.cjt1.net
O1 - Hosts: 62.75.224.159 jnictech.cjt1.net
O1 - Hosts: 62.75.224.159 jnova.cjt1.net
O1 - Hosts: 62.75.224.159 jpiolet.cjt1.net
O1 - Hosts: 62.75.224.159 jsanboxer.cjt1.net
O1 - Hosts: 62.75.224.159 jsercee.cjt1.net
O1 - Hosts: 62.75.224.159 jthedelfin.cjt1.net
O1 - Hosts: 62.75.224.159 jwarezp2p.cjt1.net
O1 - Hosts: 62.75.224.159 jwildmedia.cjt1.net
O1 - Hosts: 62.75.224.159 mediabuy-nic.cjt1.net
O1 - Hosts: 62.75.224.159 www.m7z.net
O1 - Hosts: 62.75.224.159 m7z.net
O1 - Hosts: 62.75.224.159 jcms.cydoor.com
O1 - Hosts: 62.75.224.159 cydoor.com
O1 - Hosts: 62.75.224.159 www.cydoor.com
O1 - Hosts: 62.75.224.159 jnova.cjt1.net

Ich nehme mal an, dass dies auch nicht wirklich der Normalität entspricht.

Hallo Ayse,

wenn es Dich nicht stört, dann würde ich Dir gerne ein paar "Hausaufgaben" geben. Ziel ist es, die Indentifikation und evtl. Beseitigung der Malware zu protokollieren. Damit kann ich gleichzeitig auch noch etwas lernen :)

Wenn ein Schritt nicht funktioniert, bitte nicht einfach weiter machen, sondern Dich hier melden!

1.) Lade bitte folgende Datei bei Virustotal hoch. Diese Datei ist auf jeden Fall infiziert, aber es ist doch schön, wenn man weiß, mit was man es zu tun hat und wie die Erkennung duch die einzelnen Scanner ist.

Code:

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\267b005e1.dll

Wenn Du Schwierigkeiten hast, die Datei zu finden, dann kopiere den Pfad komplett in das sich bei Virustotal öffnende Fenster hinein.
Die Logfile hier vollständig posten

2.) Anschließend wollen wir uns anschauen, was alles für Dateien in dem Verzeichnis liegen. Bei Start -> Ausführen -> "cmd" eingeben (ohne "). Es öffnet sich die Eingabeaufforderung. Dort bitte folgenden Text hineinkopieren.

Code:

dir /as C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia > c:\filelistinmac.txt

Die Logfile (c:\filelistinmac.txt) bitte hier posten. (die Eingabeaufforderung für später bitte offen lassen!)

3.) Sollten dort mehrere Dateien als die oben erwähnte auffindbar sein, wollen wir doch gerne wissen, was das genau für Dateien sind. Dafür erstellen wir eine Art Fingerabdruck für jede Datei in dem Verzeichnis. Dafür bitte den "File Ckecksum Integrity Verifier" runterladen und installieren. Bestätige die Nutzungsbedingungen und gebe, wenn Du nach dem Installationspfad gefragt wirst ("Please type the location ..."), folgenden Pfad ein:

Zitat:

c:\

Gebe bitte nach der Installation in die Eingabeaufforderung nacheinander folgende Befehle ein:

Code:

cd \

fciv.exe C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia -r -both -xml macdb.xml

Die Datei c:\macdb.xml bitte bei FileUpload hochladen und hier verlinken.

4.) Anschließend wollen wir die Datei "267b005e1.dll" löschen.
Dies machen wir, indem folgender Code in der Eingabeaufforderung ausgeführt wird:

Code:

del /f C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\267b005e1.dll

5.) Die ganzen seltsamen O1-Einträge aus der HiJackThis-Logfile wollen wir nun loswerden. Dafür gebe bitte in die Eingabeaufforderung ein:

Code:

notepad C:\WINDOWS\system32\drivers\etc\hosts

Es sollte sich nun der Editor öffnen und Dir eine Datei anzeigen, in welcher der der Logfile ähnlichen O1-Einträge zu finden sind. Lösche dort bitte alle Einträge, welche 1.) nicht mir einer Raute (#) beginnen und 2.) nicht so lauten:

Code:

127.0.0.1 localhost

6.) Starte nun Deinen Computer neu und erstelle eine neue HiJackThis-Logfile (und posten).

7.) Warte auf weitere Anweisungen ;)

Grüße
a5cl3p1o5

Hallo a5cl3p1o5

Hausaufgaben ist gut kein Problem :-)

Ich möchte auch lernen, vor allem wie das alles gekommen ist om das nächste mal zu verhindern.

Ich bin seit 2 Stunden auf der Seite Virustotal ist das normal das es so lange dauert ?

Ayse

normalerweise dauert das 2-3 Minuten. Starte den Upload nochmal neu.

ich komm da nicht rein :-(

hast du ein Packprogramm auf dem Computer?

dann packe mal bitte die Datei, versehe das ganze mit einem Passwort und schicke das ganze an die eMail-Adresse, welche Du gleich per PM bekommst

Ich hoffe du hast etwas Geduld mit mir

Diese Datei ist nicht auffindbar ich bin mit dem Rar Programm am suchen Den Ordner Common gibt es er ist leer Was kann ich noch machen ?

Ayse

im Arbeitsplatz unter Extras -> Ordneroptionen -> Ansicht
Die Hacken rausnehmen bei
* geschützte Systemdateien anzeigen
* Erweiterungen bei bekannten Dateitypen ausblenden
und Hacken setzen bei:
* versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

siehst Du jetzt die Datei?

Ansonsten befolge Schritt 2) meiner Anleitung

Die Hacken waren Überall raus

ich versuch es ersteinmal mit Schritt 2 wie du es gesagt hast

Ayse

:( Schritt 2 Folgendes kommt raus

Code:

you must specify a folder with fully qualified patname or choose Cancel

hehe, wusste gar nicht dass Windows in der DOS-Ebene so eine Fehlermeldungen produzieren kann. Vor allem, da es dort keinen Button gibt, wo man Cancel wählen kann.

Du hast gerade Deiner Malware guten Tag gesagt, welche durch einen Rootkit versteckt wird. Ein Rootkit ist ein Programm, welches Dateien/Ordner verstecken kann (vereinfacht ausgedrückt) genauer z.B. hier

Lade Dir bitte Gmer runter (das ist ein Rootkit-Scanner) -> entpacken -> starten -> Scan drücken -> warten -> Save und Logfile posten

Ich habe Schritt 2 doch noch ausführen können das Problem ist das die Seite sich immerwieder mit der gleichen eingabe für c:/ öffnet Ich kann keine andere Eingabe machen

Ich hab mal etwas von Fernwartung gehört bietet ihr auch soetwas an ?

MFG Ayse

Eigentlich nicht! Und Du merkst aufgrund der langen Antwortzeit, dass ich mir auch Gedanken machen musste , ob ich das wirklich tun soll. Dies hier ist eine absolute Ausnahme!

Wenn ich das tun soll, muss klar sein, dass ich für evtl. Schäden keine Haftung übernehme. Ich erkläre Dir jeden Schritt und erst wenn Du Dein Einverständnis gibst, werde ich diesen ausführen. Die komplette Sitzung werde ich mitschneiden, um mich abzusichern!

Wenn Du hiermit einverstanden bist, dann bestätige die Bedingungen hier offiziell. Anschließend lade Dir Teamviewer runter (Vollversion), installiere diese und schicke mir die ID und das Kennwort per Mail an die vorhin erhaltene eMail-Adresse.

Ich habe dir eine Mail mit dem Kennwort und meiner ID geschickt ich hoffe das du uns diese dinger vom Hals schaffen kannst

Bedingungen bestätigt

Ein ganz dickes Danke schön schon mal

MFG Ayse

Ok, bin in wenigen Sekunden da.

Der PC lebt noch :-)

Code:

ComboFix 09-03-10.03 - Mumi 2009-03-13  0:00:44.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.511.206 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Mumi\Desktop\ComboFix.exe

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-02-12 bis 2009-03-12  ))))))))))))))))))))))))))))))

.
 

2009-03-12 22:37 . 2009-03-12 22:37        <DIR>        d--------        c:\windows\system32\config\systemprofile\Anwendungsdaten\TeamViewer

2009-03-12 22:36 . 2009-03-12 22:36        <DIR>        d--------        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\TeamViewer

2009-03-11 17:39 . 2009-03-11 17:39        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-03-11 17:39 . 2009-03-11 17:39        <DIR>        d--------        c:\dokumente und einstellungen\Mumi\Anwendungsdaten\Malwarebytes

2009-03-11 17:39 . 2009-03-11 17:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-03-11 17:39 . 2009-02-11 10:19        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-11 17:39 . 2009-02-11 10:19        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2009-03-11 17:05 . 2009-03-11 17:05        <DIR>        d--------        c:\programme\Yahoo!

2009-03-11 17:05 . 2009-03-11 17:05        <DIR>        d--------        c:\programme\CCleaner

2009-03-11 17:05 . 2009-03-11 17:05        <DIR>        d--------        c:\dokumente und einstellungen\Mumi\Anwendungsdaten\Yahoo!

2009-03-11 17:05 . 2009-03-11 17:18        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion

2009-03-10 23:11 . 2009-03-12 21:34        <DIR>        d--------        c:\programme\TeamViewer

2009-03-10 22:26 . 2009-03-10 23:55        <DIR>        d--------        c:\programme\TeamViewer3

2009-03-10 22:26 . 2009-03-10 23:14        <DIR>        d--------        c:\dokumente und einstellungen\Mumi\Anwendungsdaten\TeamViewer

2009-03-10 22:25 . 2009-03-12 21:33        <DIR>        d--------        c:\dokumente und einstellungen\Mumi\temp

2009-03-05 11:55 . 2009-03-05 11:55        <DIR>        d--------        c:\dokumente und einstellungen\Mumi\Anwendungsdaten\mirkes.de

2009-02-17 13:32 . 2009-02-17 13:32        3,137        --a------        c:\windows\system32\control.rar
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-12 21:33        ---------        d-----w        c:\programme\Kaspersky Lab

2009-03-12 21:33        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2009-03-12 07:11        27,342        ----a-w        c:\dokumente und einstellungen\Mumi\Anwendungsdaten\wklnhst.dat

2009-03-11 11:28        ---------        d-----w        c:\dokumente und einstellungen\Mumi\Anwendungsdaten\U3

2009-02-09 14:04        1,846,912        ----a-w        c:\windows\system32\win32k.sys

2008-12-20 22:31        826,368        ----a-w        c:\windows\system32\wininet.dll

2008-12-19 12:24        410,984        ----a-w        c:\windows\system32\deploytk.dll

2008-11-15 19:47        32,768        --sha-w        c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008111520081116\index.dat

.
 

(((((((((((((((((((((((((((((   SnapShot@2009-03-12_23.49.19.54   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-03-12 22:58:44        16,384        ----atw        c:\windows\Temp\Perflib_Perfdata_6ac.dat

+ 2009-03-12 22:58:56        16,384        ----atw        c:\windows\Temp\Perflib_Perfdata_748.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-25 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-19 136600]

"Athan"="c:\programme\Athan\Athan.exe" [2007-07-07 954368]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]

"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]

"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-01 86016]

"BigDogPath"="c:\windows\VM_STI.EXE" [2004-12-15 40960]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]

"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SOUNDMAN.EXE]

"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\ALCWZRD.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoRecentDocsNetHood"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.dvsd"= c:\programme\Gemeinsame Dateien\Sony Shared\VideoLib\sonydv.dll

"msacm.speex32"= speex32.acm

"msacm.divxa32"= msaud32_divx.acm
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk

backup=c:\windows\pss\HP Image Zone Schnellstart.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2005-05-11 22:12 49152 c:\programme\HP\HP Software Update\hpwuSchd2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"High Definition Audio Property Page Shortcut"=HDAShCut.exe

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

"WinampAgent"="c:\programme\Winamp\Winampa.exe"

"BigDogPath"=c:\windows\VM_STI.EXE Apache USB PC Camera
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
 

R2 TeamViewer4;TeamViewer 4;c:\programme\TeamViewer\Version4\TeamViewer_Service.exe [2009-02-27 185640]

S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [2006-11-07 217728]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [2008-08-03 13352]

S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [2006-11-07 11264]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-08-03 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-08-03 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-08-03 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-08-03 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-08-03 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-08-03 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-08-03 97704]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{819e6636-db1f-11dd-aabf-0013d4e6b562}]

\Shell\AutoRun\command - J:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{989e3374-ccfc-11dd-aa9f-0013d4e6b562}]

\Shell\AutoRun\command - J:\LaunchU3.exe -a

.

Inhalt des "geplante Tasks" Ordners
 

2009-03-06 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://google.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mStart Page = hxxp://www.mp3indirnet.com/

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} - hxxp://data.flatcast.com/NpFv415.dll

DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} - hxxp://80.237.209.20/objects/NpFv501.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-13 00:03:31

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(724)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2009-03-13  0:05:37

ComboFix-quarantined-files.txt  2009-03-12 23:05:34

ComboFix2.txt  2009-03-12 22:50:41
 

Vor Suchlauf: 25 Verzeichnis(se), 177.741.103.104 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 177,722,343,424 Bytes frei
 

158        --- E O F ---        2009-03-11 17:50:35

Hallo

Ich wollte mich recht Herzlich bedanken
Ich finde es sehr schön das es solche Foren gibt und das auch kompetente Menschen ihre Hilfe anbieten ich bedanke mich bei a5cl3p1o5 für seinen riesigen Zeitaufwand und seiner Geduld.
Vielen Dank

MFG Ayse

Dieses Thema kann als Gelöst betrachtet werden