Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Pokertrojaner? "w*w.888.com" (https://www.trojaner-board.de/51513-pokertrojaner-w-w-888-com.html)

Antrax 11.04.2008 22:19
Pokertrojaner? "w*w.888.com"
 
Hi zusammen

Ich bins mal wieder... :schmoll: Habe einen Neuen Plagegeist auf meinem PC... Mein Problem ist es, dass sich während meiner Abwesenheit sich an Meinem PC IE-Fenster öffnen die auf "w*w.888.com" verlinkt sind.

Ausserdem öffneten sich sechs Fenster in denen sich der Hinweis "Jetzt die No-Downloadversion testen" mit den Möglichkeiten "OK" und "Abbrechen" befinden. Ich versuchte die Fenster zu schliessen, aber nach jedem geschlossenem Fenster kamen zwischen 2 und 5 neuen Fenster gleicher Art. (Ebenfalls fon w*w.888.com)

Hier logge ich mein HJT und hoffe darauf, dass mir jemand helfen kann. :Boogie:

:sword2: Also das HJT:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:09, on 11.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\stacsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Bluetooth\HidSwitchService\BtHidUi.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Bluetooth\HidSwitchService\HidSw.exe
C:\Dokumente und Einstellungen\***\lsass.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\SetPoint\SetPoint.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Octoshape Streaming Services\***\OctoshapeClient.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Winamp Remote\bin\Orb.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Live\Mail\wlmail.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.ne-clan.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: SYSTRAN Web Translator 5.0  - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BtHidUi] C:\Programme\Bluetooth\HidSwitchService\BtHidUi.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [{F6-6B-BE-E6-DW}] C:\WINDOWS\system32\Rtmp\cegmgr76.exe DWram
O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\***\lsass.exe
O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\atgban.dll" DllStart
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BM73ec58d5] Rundll32.exe "C:\WINDOWS\system32\ygmgmgra.dll",s
O4 - HKLM\..\Run: [70df6b49] rundll32.exe "C:\WINDOWS\system32\esbmdgqk.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\***\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\Rtmp\cegmgr76.exe
O4 - Startup: Verknüpfung mit Neu Textdokument.lnk = C:\Dokumente und Einstellungen\***\Desktop\TXT\Locher.txt
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: SetPoint.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - h**p://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195673209484
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW50cmF4IHVuZCBJZ2VsaQ\command.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\stacsv.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 14521 bytes
:daumenhoc Ich habe im Internet danach gesucht und bin nicht fündig geworden. Warscheinlich ist das ein neues "Ding" :confused:

=>> Es infisziert das System über L*mewire. Da bin ich mir zu 99% Sicher.

:lmaa: Naja, ich werde Limew*re nie mehr freiwillig anfassen. Nur noch vertrauliche Quellen verwenden.

:) Danke für die Hilfe.
MFG Antrax

PS: Ich gehe jetzt schlafen und kome Morgen um 06.30 nochmal an den PC. Dann bin ic den ganzen Tag nicht online, da ich arbeiten gehe.

EDIT: FRI 11 APR
Die "Automatische Updates" des Systems wird ohne mein Einwirken Deaktiviert.

EDIT FRI 11 APR
1. Avast Meldet einen Virus/Vurm (troj.gen) und hat mich beim schlafen gestört...
2. Es öffnet sich folgende I-Net Seite: "http://w*w.fxclub.com/private-zone-en/"

-SilverDragon- 11.04.2008 22:46
Oh Gott... Volltreffer.
Ich würde zum neu aufsetzen raten, da ist eine Svchost im Fonts-ordner,
Code:
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
Und ne lsass in einem Unterordner von Dokumente und Einstellungen..
Code:
C:\Dokumente und Einstellungen\***\lsass.exe
Und noch viel mehr schädliche Dateien.

Antrax 12.04.2008 06:17
Hallo Silverdragon

Ich habe gute Neuigkeiten. Während dem ich geschlafen hab gab es ein Windowsupdate welches sich automatisch installiert hat. Nach dem Neustart kam Folgende Meldung:

http://data.archomedia.com/images/usergalleries/8.jpg

Ich weiss nicht ob das reicht... Ich poste noch ein neueres Log.

HJT:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:16:45, on 12.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\stacsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Bluetooth\HidSwitchService\BtHidUi.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Bluetooth\HidSwitchService\HidSw.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Dokumente und Einstellungen\Antrax und Igeli\lsass.exe
C:\WINDOWS\System32\Rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\BOINC\boincmgr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\SetPoint\SetPoint.exe
C:\Programme\BOINC\boinc.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Winamp Remote\bin\Orb.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Octoshape Streaming Services\Antrax und Igeli\OctoshapeClient.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\BOINC\projects\einstein.phys.uwm.edu\einstein_S5R3_4.26_windows_intelx86.exe
C:\Programme\BOINC\projects\www.worldcommunitygrid.org\wcg_hcc1_img_5.20_windows_intelx86
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ne-clan.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: targettedbanner.biz browser enhancer - {16B435F6-B6CE-4F24-A568-944B27ED919C} - C:\WINDOWS\system32\atgban.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {8E1BFC0E-8AD2-424D-AC8A-06038481516E} - C:\WINDOWS\system32\ssqNExYq.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\njfsxbrm.dll (file missing)
O2 - BHO: (no name) - {BB8C7231-443B-4701-8A2B-D6D382E27C70} - C:\WINDOWS\system32\wvUnLDuu.dll (file missing)
O3 - Toolbar: SYSTRAN Web Translator 5.0  - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BtHidUi] C:\Programme\Bluetooth\HidSwitchService\BtHidUi.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [{F6-6B-BE-E6-DW}] C:\WINDOWS\system32\Rtmp\cegmgr76.exe DWram
O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\Antrax und Igeli\lsass.exe
O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\atgban.dll" DllStart
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Antrax und Igeli\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\Rtmp\cegmgr76.exe
O4 - Startup: Verknüpfung mit Neu Textdokument.lnk = C:\Dokumente und Einstellungen\Antrax und Igeli\Desktop\TXT\Locher.txt
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: SetPoint.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195673209484
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ssqNExYq - ssqNExYq.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW50cmF4IHVuZCBJZ2VsaQ\command.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\stacsv.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 15884 bytes

-SilverDragon- 12.04.2008 09:53
Besser sieht es noch nicht im Logfile aus.
Am allerbesten wäre es das System neu aufzusetzen, zu deiner eigenen Sicherheit.
Das System ist so mit Malware vollgepumpt.
Vielleicht hat noch jemand eine bessere Idee.

Antrax 13.04.2008 01:42
Hi Silverdragon!

Ich habe diverse wichtige Dateien auf meinem Rechner die ich nicht verlieren möchte. Ich währe froh wenn mir jemand konstruktivere Vorschläge machen würde, wie man den PC reinigen kann...

Ausserdem habe ich auf meinem Externen Harddisk ungefär 250 GB Musik und 80 GB Programme, ich nehme an, dass diese auch Schaden genommen haben.

Es gibt sicher noch andere Auswege, die um eine Neuinstalation des PC's herumführen.

ÜBRIGENS: Ich brauche keinen One-Post's Ich kann gut damit umgehen wenn ich mit verschiedenen Posts an mein Ziel komme. Ich hoffe auf viele Lösungsvorschläge und werde alle ausprobieren.

MFG Antrax

Vista_User 13.04.2008 06:39
Bitte folgendes bei www.virustotal.com hochladen und Ergebnis posten:

C:\Dokumente und Einstellungen\Antrax und Igeli\lsass.exe
C:\WINDOWS\system32\atgban.dll
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
C:\WINDOWS\QW50cmF4IHVuZCBJZ2VsaQ\command.exe (wenn noch da)
C:\Programme\Network Monitor\netmon.exe (wenn noch da)


Nachdem du das hochgeladen hast und uns gepostet hast, machst du bitte den ActiveScan 2.0 von Panda:

Da musst du dich nur kurz mit Nicknamen und Kennwort registrieren, dafür ist der sehr gut!!!

Link:http://www.pandasecurity.com/activescan/index/

Viel Erfolg.

Sabina 13.04.2008 11:58
Hallo,

««
(eventuelle Fehlermeldungen übergehen)
Start -- Ausführen -- schreib rein: cmd

sc stop Network Monitor

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Network Monitor

[klicke "enter"]

sc stop Command Service

[klicke "enter"]

--------------------------------------------------------------

««
mit dem HijackThis löschen ("fixen")

Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.
Zitat:
O2 - BHO: targettedbanner.biz browser enhancer - {16B435F6-B6CE-4F24-A568-944B27ED919C} - C:\WINDOWS\system32\atgban.dll

O2 - BHO: (no name) - {8E1BFC0E-8AD2-424D-AC8A-06038481516E} - C:\WINDOWS\system32\ssqNExYq.dll (file missing)

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\njfsxbrm.dll (file missing)

O2 - BHO: (no name) - {BB8C7231-443B-4701-8A2B-D6D382E27C70} - C:\WINDOWS\system32\wvUnLDuu.dll (file missing)

O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe

O4 - HKLM\..\Run: [{F6-6B-BE-E6-DW}] C:\WINDOWS\system32\Rtmp\cegmgr76.exe DWram

O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\Antrax und Igeli\lsass.exe

O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\atgban.dll" DllStart

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257

O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\Rtmp\cegmgr76.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW50cmF4IHVuZCBJZ2VsaQ\command.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
--------
««
wende Combofix an, klick die Warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html

Antrax 13.04.2008 11:58
1. C:\Dokumente und Einstellungen\***\lsass.exe

Datei lsass.exe
Empfangen 2008.04.13 12:28:10 (CET)
Status: Überprüfung Beendet
Ergebnis: 19/32 (59.38%)

Code:
AhnLab-V3        2008.4.12.0        2008.04.11        Win-Trojan/Xema.variant
AntiVir        7.6.0.85        2008.04.11        BDS/VB.czs
AVG        7.5.0.516        2008.04.12        BackDoor.VB.BEL
CAT-QuickHeal        9.50        2008.04.12        Backdoor.VB.czs
ClamAV        0.92.1        2008.04.13        Trojan.VB-2276
eSafe        7.0.15.0        2008.04.09        suspicious Trojan/Worm
eTrust-Vet        31.3.5692        2008.04.11        Win32/Vebebak.A
F-Secure        6.70.13260.0        2008.04.13        Backdoor.Win32.VB.czs
Ikarus        T3.1.1.26        2008.04.13        Backdoor.Win32.VB.czs
Kaspersky        7.0.0.125        2008.04.13        Backdoor.Win32.VB.czs
McAfee        5272        2008.04.11        Generic BackDoor
Microsoft        1.3408        2008.04.13        Trojan:Win32/Malagent
Norman        5.80.02        2008.04.12        W32/VBDoor.HWR
Panda        9.0.0.4        2008.04.13        Suspicious file
Prevx1        V2        2008.04.13        Trojan.SystemPoser
Sophos        4.28.0        2008.04.13        Mal/Heuri-D
TheHacker        6.2.92.276        2008.04.12        Backdoor/VB.czs
VBA32        3.12.6.4        2008.04.13        Backdoor.Win32.VB.czs
Webwasher-Gateway        6.6.2        2008.04.11        Trojan.Backdoor.VB.czs

Weitere Informationen
File size: 29696 bytes
MD5...: a0c8b3c28f751cc4335f11e0598276de
SHA1..: 0a8b61c58bec0f8688ac614b4e20da80993db137
SHA256: 520af158b61d8190557e198f0f01ea80ce018d5057b7684a9f5d468913ad7eef
SHA512: 91ebb53353ffa10a444512d78d0c60aaec8029a8b7ab4a26f9de6d2d24ba8d26
c110a7110f6646e7eb38fea39b7c3d4a4de3df72a025281fba9fcd7a8ede80db
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41ac30
timedatestamp.....: 0x47f36ba1 (Wed Apr 02 11:18:57 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x13000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x14000 0x7000 0x6e00 7.88 dcbd4b415f021d2f54269a515ed37b9a
UPX2 0x1b000 0x1000 0x200 2.11 e389371c5be565c6cc3b17d0f25eed66

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=626F0878007CA51F74400060F382D20057C089F3
2. C:\WINDOWS\system32\atgban.dll

Datei atgban.dll
Empfangen 2008.04.13 12:39:40 (CET)
Status: Überprüfung Beendet
Ergebnis: 12/32 (37.5%)

Code:
AntiVir        7.6.0.85        2008.04.11        TR/Agent.58880
AVG        7.5.0.516        2008.04.12        Generic10.IWM
BitDefender        7.2        2008.04.13        Adware.Trafficsol.S
Ikarus        T3.1.1.26.0        2008.04.13        not-a-virus:AdWare.Win32.TrafficSol.f
Kaspersky        7.0.0.125        2008.04.13        not-a-virus:AdWare.Win32.TrafficSol.ai
Microsoft        1.3408        2008.04.13        Trojan:Win32/Vundo.CQ!dll
Norman        5.80.02        2008.04.12        W32/Vundo.BL
Panda        9.0.0.4        2008.04.13        Adware/TrafficSol
Prevx1        V2        2008.04.13        Generic.Malware
Sophos        4.28.0        2008.04.13        Troj/Virtum-Gen
VBA32        3.12.6.4        2008.04.13        AdWare.Win32.TrafficSol.ai
Webwasher-Gateway        6.6.2        2008.04.11        Trojan.Agent.58880

Weitere Informationen
File size: 58880 bytes
MD5...: 031b1f4c84f30f10c392b0456f9021a7
SHA1..: 39d8989aa68876c0141c39e40bef4ad9b65660a7
SHA256: e7cd43d91c28aa808dad1fad4af65354a0da5224f6f4636e4a84b0770479480e
SHA512: f25dc11003382fc39deb3f74148f168b426de0b15f39b013e8cf9230a8087ef6
f0d451b4fe3a3d75cdb3fe9b1602303c679196af83d4a225f2e938d1768b8cab
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10024c80
timedatestamp.....: 0x47d6a2ae (Tue Mar 11 15:18:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x17000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x18000 0xd000 0xd000 7.89 65cb789b04fc04b3c9807ef8c8d2f446
.rsrc 0x25000 0x2000 0x1200 4.42 eda66df4d5619be28b43033b83051d4d

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect
> ADVAPI32.dll: RegCloseKey
> ole32.dll: CoTaskMemFree
> OLEAUT32.dll: -
> SHLWAPI.dll: StrCmpIW
> USER32.dll: GetPropW
> VERSION.dll: VerQueryValueW
> WININET.dll: InternetOpenW

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllStart, DllUnregisterServer
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=513B9385001C4F8CE68100B205EFF900A51A6425
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=031b1f4c84f30f10c392b0456f9021a7
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
packers (Authentium): UPX
3. C:\WINDOWS\Fonts\svchost.exe

Scheint als sei es nicht mehr drin.
Code:
> "0 bytes size received"
4. C:\WINDOWS\mrofinu1188.exe

Scheint als sei es nicht mehr drin.
Code:
> "0 bytes size received"
5. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

Datei search.html
Empfangen 2008.04.13 12:49:01 (CET)
Status: Überprüfung Beendet
Ergebnis: 0/32 (0%)

6. C:\WINDOWS\QW50cmF4IHVuZCBJZ2VsaQ\command.exe (wenn noch da)

Scheint als sei es nicht mehr drin.
Code:
> "0 bytes size received"
7. C:\Programme\Network Monitor\netmon.exe (wenn noch da)

Scheint als sei es nicht mehr drin.
Code:
> "0 bytes size received"
MFG Antrax

Vista_User 13.04.2008 12:51
Hallo,

das was Sabina geschrieben hat, was du fixen sollst, kannst du fixen, dabei wird jedoch nicht die Malware gelöscht.



Sabina, denkst du wirklich, dass durch fixen ein Backdoor gelöscht werden kann?? Nein, kann er nicht.


Hast du den Panda ActiveScan gemacht???


Bitte Log posten und die Objekte desinfizieren lassen.

Antrax 13.04.2008 13:06
Naja... Habe cobofix laufen lassen...

Der Log:
Code:
ComboFix 08-04-12.7 - *** 2008-04-13 13:38:19.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.994 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
TimedOut: Windir.dat

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\kmd.exe
C:\Programme\network monitor
C:\Programme\nvcoi
C:\Programme\nvcoi\mst.stt
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\BM73ec58d5.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\QW50cmF4IHVuZCBJZ2VsaQ\
C:\WINDOWS\system32\atgban.dll
C:\WINDOWS\system32\efcBuRjJ.dll
C:\WINDOWS\system32\hyynxwlj.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\pac.txt
G:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR
-------\Service_cmdService
-------\Service_Network Monitor


(((((((((((((((((((((((  Dateien erstellt von 2008-03-13 bis 2008-04-13  ))))))))))))))))))))))))))))))
.

2008-04-11 23:26 . 2008-04-11 23:26        215                --a------        C:\WINDOWS\system32\MRT.INI
2008-04-11 22:50 . 2008-04-11 22:50        <DIR>                d--------        C:\Programme\Trend Micro
2008-04-11 14:02 . 2008-04-11 22:38        811,235                ---hs----        C:\WINDOWS\system32\kqgdmbse.ini
2008-04-11 13:59 . 2008-04-11 13:59        3,648                --a------        C:\WINDOWS\system32\ukhpaosc.dll
2008-04-10 14:18 . 2008-03-29 19:45        1,146,232        --a------        C:\WINDOWS\system32\aswBoot.exe
2008-04-10 14:18 . 2004-01-09 10:13        380,928                --a------        C:\WINDOWS\system32\actskin4.ocx
2008-04-10 14:18 . 2008-03-29 19:23        95,608                --a------        C:\WINDOWS\system32\AvastSS.scr
2008-04-10 14:18 . 2008-03-29 19:35        94,544                --a------        C:\WINDOWS\system32\drivers\aswmon2.sys
2008-04-10 14:18 . 2008-01-17 17:34        93,264                --a------        C:\WINDOWS\system32\drivers\aswmon.sys
2008-04-10 14:18 . 2008-03-29 19:31        75,856                --a------        C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-10 14:18 . 2008-03-29 19:27        42,912                --a------        C:\WINDOWS\system32\drivers\aswTdi.sys
2008-04-10 14:18 . 2008-03-29 19:26        26,944                --a------        C:\WINDOWS\system32\drivers\aavmker4.sys
2008-04-10 14:18 . 2008-03-29 19:29        23,152                --a------        C:\WINDOWS\system32\drivers\aswRdr.sys
2008-04-10 14:18 . 2008-03-29 19:35        20,560                --a------        C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-10 14:17 . 2008-04-10 14:17        <DIR>                d--------        C:\Programme\Alwil Software
2008-04-10 14:03 . 2008-04-11 06:03        708,650                ---hs----        C:\WINDOWS\system32\gaygggdr.ini
2008-04-10 14:00 . 2008-04-10 14:00        3,648                --a------        C:\WINDOWS\system32\fejkpame.dll
2008-04-10 13:57 . 2008-04-10 13:57        38,400                --a------        C:\WINDOWS\17PHolmes1188.exe
2008-04-09 21:26 . 2008-04-09 21:26        <DIR>                d--------        C:\Programme\Avira
2008-04-09 21:26 . 2008-04-09 21:26        <DIR>                d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-08 22:45 . 2008-04-08 22:45        38,400                -ra------        C:\WINDOWS\mrofinu1000106.exe
2008-04-07 09:01 . 2008-04-11 23:26        211,179                --ahs----        C:\WINDOWS\system32\uuDLnUvw.ini2
2008-04-07 09:01 . 2008-04-11 23:26        211,179                --ahs----        C:\WINDOWS\system32\uuDLnUvw.ini
2008-04-07 08:56 . 2008-04-07 08:56        <DIR>                d--------        C:\WINDOWS\system32\Rtmp
2008-04-07 08:56 . 2008-04-10 23:33        <DIR>                d--------        C:\WINDOWS\system32\MId2
2008-04-07 08:56 . 2008-04-07 08:56        <DIR>                d--------        C:\WINDOWS\system32\HBL
2008-04-07 08:56 . 2008-04-07 08:56        <DIR>                d--------        C:\WINDOWS\system32\bharebio18
2008-04-07 08:56 . 2008-04-07 08:56        <DIR>                d--------        C:\Temp\wdlw14
2008-04-07 08:56 . 2008-04-13 13:38        <DIR>                d--------        C:\Temp
2008-04-07 08:56 . 2008-04-07 08:56        687,592                --a------        C:\WINDOWS\system32\atmtd.dll._
2008-04-07 08:56 . 2008-04-07 08:56        687,592                --a------        C:\WINDOWS\system32\atmtd.dll
2008-04-07 08:56 . 2008-04-07 08:56        39,883                --a------        C:\WINDOWS\system32\targetedbanner-uninst.exe
2008-04-07 08:56 . 2008-04-07 08:56        29,696                ---hs----        C:\Dokumente und Einstellungen\***\lsass.exe
2008-04-07 08:56 . 2006-01-03 17:45        1,989                --a------        C:\WINDOWS\uninstall_nmon.vbs
2008-03-31 18:27 . 2008-03-31 18:27        <DIR>                d--------        C:\Programme\CamStudio
2008-03-29 16:47 . 2008-03-29 16:47        <DIR>                d--------        C:\Programme\id Software
2008-03-29 16:45 . 2008-03-29 16:45        <DIR>                d--hs----        C:\WINDOWS\ftpcache
2008-03-28 19:27 . 2008-03-28 19:27        <DIR>                d--------        C:\Programme\comboVT
2008-03-27 17:23 . 2008-03-27 17:27        <DIR>                d--------        C:\Programme\GCFScape
2008-03-27 15:31 . 2008-03-27 16:50        <DIR>                d--------        C:\Programme\FTP Commander
2008-03-26 21:42 . 2008-03-26 21:43        <DIR>                d--------        C:\Programme\Safari
2008-03-25 11:33 . 2008-03-25 11:33        <DIR>                d--------        C:\Programme\IrfanView
2008-03-24 18:19 . 2008-03-31 18:29        <DIR>                d--------        C:\Programme\PartyGaming.Net
2008-03-19 21:08 . 2008-03-26 21:58        9,984                --a------        C:\WINDOWS\system32\drivers\SysInteg010.sys
2008-03-14 01:06 . 2008-03-14 01:06        41,296                --a------        C:\WINDOWS\system32\xfcodec.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-13 11:51        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-04-13 11:50        ---------        d-----w        C:\Programme\Steam
2008-04-13 11:50        ---------        d-----w        C:\Programme\BOINC
2008-04-13 11:15        ---------        d-----w        C:\Programme\Winamp Remote
2008-04-13 11:10        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-04-11 04:04        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-04-10 12:05        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire
2008-04-10 11:43        ---------        d-----w        C:\Programme\LimeWire
2008-04-10 11:42        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2008-04-08 06:52        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-04-02 20:17        ---------        d-----w        C:\Programme\Java
2008-03-31 08:41        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\X-Chat 2
2008-03-30 07:43        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\HLSW
2008-03-29 22:06        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-29 14:54        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-03-26 13:14        ---------        d-----w        C:\Programme\Xfire
2008-03-23 12:18        ---------        d-----w        C:\Programme\Winamp
2008-03-13 07:00        ---------        d-----w        C:\Programme\ICQ6
2008-03-12 21:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2008-03-12 21:08        ---------        d-----w        C:\Programme\TomTom HOME 2
2008-03-12 21:08        ---------        d-----w        C:\Programme\TomTom HOME
2008-03-12 21:08        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\TomTom
2008-03-04 11:02        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-03-04 10:54        ---------        d-----w        C:\Programme\K-Lite Codec Pack
2008-03-04 10:46        ---------        d-----w        C:\Programme\VideoLAN
2008-03-03 14:38        ---------        d-----w        C:\Programme\1A Bildsauger
2008-02-27 19:48        ---------        d-----w        C:\Programme\iTunes
2008-02-27 19:48        ---------        d-----w        C:\Programme\iPod
2008-02-24 15:08        ---------        d-----w        C:\Programme\Microsoft Silverlight
2008-02-24 11:12        ---------        d-----w        C:\Programme\Microsoft Works
2008-02-23 09:01        22,328        ----a-w        C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-22 11:00        ---------        d-----w        C:\Programme\ABF software
2008-02-22 10:57        ---------        d-----w        C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-02-22 10:13        ---------        d-----w        C:\Programme\EA GAMES
2008-02-19 12:38        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Publish Providers
2008-02-18 23:34        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-02-17 19:30        ---------        d-----w        C:\Programme\Zattoo
2008-02-14 16:46        ---------        d-----w        C:\Programme\Bluetooth
2008-02-14 16:46        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\CSR
2008-02-14 16:44        ---------        d-----w        C:\Programme\Toshiba
2008-02-14 16:35        5        ----a-w        C:\WINDOWS\system32\drivers\DELL_XPS_MXP061                          .MRK
2008-02-14 16:35        5        ----a-w        C:\WINDOWS\system32\drivers\1028_DELL_XPS_MXP061                          .MRK
2008-02-08 20:43        14,286        ----a-w        C:\Programme\settings.dat
2007-11-22 11:13        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-11-20 03:52        806,106        ----a-w        C:\Programme\MXP61A05.EXE
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06        1135968        --a------        C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]
"Steam"="c:\programme\steam\steam.exe" [2008-03-28 08:19 1271032]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 22:02 495616]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\***\OctoshapeClient.exe" [2006-02-13 18:33 214648]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-11-21 02:47 172280]
"TomTomHOME.exe"="C:\Programme\TomTom HOME 2\HOMERunner.exe" [2008-02-18 12:58 206184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-04-06 15:58 1032192]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-12-20 17:38 28160 C:\WINDOWS\KHALMNPR.Exe]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50 81920]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 18:41 45056]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 18:30 282624 C:\WINDOWS\stsystra.exe]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 12:55 667718]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 12:56 602182]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-05-04 09:59 237568]
"LogitechCameraAssistant"="C:\Programme\Logitech\Video\CameraAssistant.exe" [2006-05-04 09:24 489472]
"LogitechVideo[inspector]"="C:\Programme\Logitech\Video\InstallHelper.exe" [2006-05-04 09:32 73728]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 17:39 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 18:01 40960]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [2006-03-28 16:48 622592]
"SetDefPrt"="C:\Programme\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 19:02 49152]
"ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [2006-04-10 15:58 61440]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-18 18:16 185896]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [ ]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 22:05 311296]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"BtHidUi"="C:\Programme\Bluetooth\HidSwitchService\BtHidUi.exe" [2006-06-02 15:15 1298432]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 12:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqNExYq]
ssqNExYq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Steam\\steamapps\\peacemaker574\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Octoshape Streaming Services\\***\\OctoshapeClient.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\X-Chat 2\\xchat.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\Programme\\Steam\\steamapps\\peacemaker574\\counter-strike\\hl.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R3 ACPIFnKeys;Driver for Function Keys ACPI Device;C:\WINDOWS\system32\DRIVERS\ACPIFnKy.sys [2006-02-07 22:41]
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 13:50]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-05-04 02:07]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-05-04 10:07]
S3 SysInteg;SysInteg;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-26 21:58]
S3 SysInteg32368;SysInteg32368;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-26 21:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{439705c4-9c74-11dc-b766-000fcce528d5}]
\Shell\1\Command - F:\autorun.pif
\Shell\2\Command - F:\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{636964ba-9708-11dc-b752-000fcce528d5}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

.
Inhalt des "geplante Tasks" Ordners
"2008-04-09 18:32:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-12 13:24:02 C:\WINDOWS\Tasks\User_Feed_Synchronization-{D578277A-B12C-47B0-AE75-729A4C9598B2}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-04-13 13:49:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NicConfigSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\stacsv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Brother\ControlCenter3\BrccMCtl.exe
C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Bluetooth\HidSwitchService\HidSw.exe
C:\Programme\Winamp Remote\bin\Orb.exe
C:\Programme\BOINC\boincmgr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SetPoint\SetPoint.exe
C:\Programme\BOINC\boinc.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\BOINC\projects\einstein.phys.uwm.edu\einstein_S5R3_4.26_windows_intelx86.exe
C:\Programme\BOINC\projects\w*w.worldcommunitygrid.org\wcg_hpf2_rosetta_5.18_windows_intelx86
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-13 14:01:50 - machine was rebooted
ComboFix-quarantined-files.txt  2008-04-13 12:01:43
ComboFix2.txt  2008-02-08 14:00:47
              11 Verzeichnis(se), 58,065,092,608 Bytes frei
              13 Verzeichnis(se), 58,106,478,592 Bytes frei
.
2008-04-11 21:26:59        --- E O F ---
Der rest kommt heute noch ;)

Sabina 13.04.2008 13:49
Hallo,

««
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat:
C:\WINDOWS\system32\kqgdmbse.ini
C:\WINDOWS\system32\ukhpaosc.dll
C:\WINDOWS\system32\gaygggdr.ini
C:\WINDOWS\system32\fejkpame.dll
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\system32\uuDLnUvw.ini2
C:\WINDOWS\system32\uuDLnUvw.ini
C:\WINDOWS\system32\Rtmp
C:\WINDOWS\system32\MId2
C:\WINDOWS\system32\HBL
C:\WINDOWS\system32\bharebio18
C:\Temp\wdlw14
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\targetedbanner-uninst.exe
C:\Dokumente und Einstellungen\Antrax und Igeli\lsass.exe
C:\WINDOWS\uninstall_nmon.vbs
Klicke auf den Roten MoveIt!

poste, was im rechten Fenster erscheint

-------------------------------------------

««
scanne mit sdfix im abgesicherten modus - poste nach neustart den report
SDFix

««
wende noch mal combofix an + poste den neuen report
es müssen noch Registry-Einträge raus....

Antrax 13.04.2008 22:36
Schädlingsentfernung...
 
OK... Habe OT MoveIt2 ausgeführt...

Log:
Code:
C:\WINDOWS\system32\kqgdmbse.ini moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\ukhpaosc.dll
C:\WINDOWS\system32\ukhpaosc.dll NOT unregistered.
C:\WINDOWS\system32\ukhpaosc.dll moved successfully.
C:\WINDOWS\system32\gaygggdr.ini moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\fejkpame.dll
C:\WINDOWS\system32\fejkpame.dll NOT unregistered.
C:\WINDOWS\system32\fejkpame.dll moved successfully.
C:\WINDOWS\17PHolmes1188.exe moved successfully.
C:\WINDOWS\mrofinu1000106.exe moved successfully.
C:\WINDOWS\system32\uuDLnUvw.ini2 moved successfully.
C:\WINDOWS\system32\uuDLnUvw.ini moved successfully.
C:\WINDOWS\system32\Rtmp moved successfully.
C:\WINDOWS\system32\MId2 moved successfully.
C:\WINDOWS\system32\HBL moved successfully.
C:\WINDOWS\system32\bharebio18 moved successfully.
C:\Temp\wdlw14 moved successfully.
C:\WINDOWS\system32\atmtd.dll._ moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll NOT unregistered.
C:\WINDOWS\system32\atmtd.dll moved successfully.
C:\WINDOWS\system32\targetedbanner-uninst.exe moved successfully.
C:\Dokumente und Einstellungen\Antrax und Igeli\lsass.exe moved successfully.
C:\WINDOWS\uninstall_nmon.vbs moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04132008_231734
Panda Active Scan startet nicht!
Hier ein Screen

> Habe SDFix heruntergeladen. Nach dem Neustart kommt der Log.


Habe deine HiJackThis Einträge gefixt Sabrina :kloppen:

MFG

PS: Follgt noch ein Update in etwa 20 Min warscheinlich

Sabina 13.04.2008 23:24
Hallo,

««
poste dann also das Log von sdfix.

«
dann löschen wir mal noch nicht die Qurantänen, denn mal sehen, was der Bitdefender so alles erkennt.
scanne mit Bitdefender + poste den Report (ist erklärt, wie man das macht auf meiner Seite)
Online Virenscanner

«
poste dann auch ein neues Log von Combofix


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131