Trojaner-Board - Anti Spy Check 2.1 Problem

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Anti Spy Check 2.1 Problem (https://www.trojaner-board.de/59190-anti-spy-check-2-1-problem.html)

Anti Spy Check 2.1 Problem

Hi also ich habe Heute das Teil da ausversehen gedownloadet und jez weiß ich nicht mehr wie ich das ding da löschen soll. Naja dann habe ich versucht mit CCleaner das Problem zu lösen aber geht trotzdem nicht.
Hoffe ihr könnt mir weiterhelfen. ^^

-= HijackThis Log =-

Code:

´Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:34:59, on 04.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Applications\iebtm.exe

C:\Programme\Applications\wcs.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\ubpr01.exe

C:\Programme\Applications\wcm.exe

C:\Programme\aspch\ASpCh.exe

C:\Programme\Applications\iebtmm.exe

C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h**p://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://internetsearchservice.com/ie6.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://internetsearchservice.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://internetsearchservice.com/ie6.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://internetsearchservice.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://internetsearchservice.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0BD44AB1-76A7-4E05-92F4-4B065FE72BD6} - C:\Programme\Applications\iebt.dll

O2 - BHO: 968070 helper - {157BEF24-1400-4E89-946A-F29F97D703D3} - C:\WINDOWS\system32\968070\968070.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {E1FAB6BD-4A34-47ce-82AF-50B16A6BE77E} - (no file)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O3 - Toolbar: Internet Service - {94A5C93F-BD18-4C46-B777-C94C145C3CAB} - C:\Programme\Applications\iebr.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [wblogon] C:\WINDOWS\system32\ubpr01.exe

O4 - HKCU\..\Run: [aspch] "C:\Programme\aspch\ASpCh.exe"

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Applications\iebtm.exe

O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Programme\Applications\wcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - C:\Programme\Xilisoft\YouTube Video Converter\upod_link.HTM

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.usefulietools.com/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.usefulietools.com/redirect.php (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: babblement - {d3b82107-f8fa-4ef3-8066-136e22872d4e} - C:\WINDOWS\system32\sjrggq.dll

O23 - Service: ABBYY FineReader 9.0-Lizenzierungsdienst (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 6867 bytes

Hallo oTToman92 und

http://www.mysmilie.de/generator/ablage/156/257.png

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Navilog1 - von IL-MAFIOSO

Bitte lade Dir Navilog1 herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.
(Anleitung von Myrtille)

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Hey

Danke für die schnelle Antwort, hier die logs!

-= SmitfraudFix log =-

Code:

SmitFraudFix v2.346
 

Scan done at 13:27:44,53, 05.09.2008

Run from C:\Dokumente und Einstellungen\*****\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{d3b82107-f8fa-4ef3-8066-136e22872d4e}"="babblement"
 

[HKEY_CLASSES_ROOT\CLSID\{d3b82107-f8fa-4ef3-8066-136e22872d4e}\InProcServer32]

@="C:\WINDOWS\system32\sjrggq.dll"
 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{d3b82107-f8fa-4ef3-8066-136e22872d4e}\InProcServer32]

@="C:\WINDOWS\system32\sjrggq.dll"
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 

C:\WINDOWS\system32\sjrggq.dll -> Hoax.Win32.Renos.gen.p

C:\WINDOWS\system32\sjrggq.dll -> Deleted
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 

C:\WINDOWS\system32\ubpr01.exe Deleted

C:\DOKUME~1\ALLUSE~1\STARTM~1\Antivirus Scan.url Deleted

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Spyware Test.url Deleted

C:\DOKUME~1\*****\FAVORI~1\Antivirus Scan.url Deleted

C:\Programme\Applications\ Deleted

C:\Programme\aspch\ Deleted
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

C:\WINDOWS\system32\968070\968070.dll deleted.

C:\WINDOWS\system32\968070\ deleted.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2291C0F2-431B-4152-8474-BBC5D9CC77A5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2291C0F2-431B-4152-8474-BBC5D9CC77A5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{2291C0F2-431B-4152-8474-BBC5D9CC77A5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

-= Navilog =-

Code:

Search Navipromo version 3.6.5 began on 05.09.2008 at 13:46:12,12
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Actual User Account : "*****" 
 

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO
 
 

Microsoft Windows XP [Version 5.1.2600]

Version Internet Explorer : 6.0.2900.2180

Filesystem type : NTFS
 

Search done in normal mode
 

*** Searching for installed Software ***
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\*****\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\*****\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : h**p://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 05.09.2008 at 13:51:17,10 ***

-= mbam-log =-

Code:

Malwarebytes' Anti-Malware 1.23

Datenbank Version: 1003

Windows 5.1.2600 Service Pack 2
 

14:32:55 05.09.2008

mbam-log-9-5-2008 (14-32-55).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|)

Durchsuchte Objekte: 113549

Laufzeit: 31 minute(s), 1 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\e405.e405mgr (Trojan.Zlob) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\videoPl.chl (Trojan.Zlob) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\Sierra\Caesar IV\rld-c4kg.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{65CC3766-0E3E-4F04-A3D6-65C62C716012}\RP150\A0016617.exe (Rogue.VirusHeat) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{65CC3766-0E3E-4F04-A3D6-65C62C716012}\RP150\A0016618.dll (Trojan.BHO) -> Quarantined and deleted successfully.

PS: Dieses Navilog1 Link funzt net ;)
Und es scheint so als ob der Fehler behoben ist... da kommen keine "Sie haben Viren" meldungen mehr^^

:dankeschoen:

Das sieht doch schon mal gar nicht ganz schlecht aus. ;)

Jedoch würde ich trotzdem nochmal mit diesem Programm suchen lassen:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hey

~=LOG=~

Code:

ComboFix 08-09-04.09 - ***** 2008-09-05 15:01:30.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.680 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\*****\Eigene Dateien\My Documents.url

C:\Dokumente und Einstellungen\NetworkService\Cookies\system@ad.yieldmanager[2].txt

C:\Dokumente und Einstellungen\NetworkService\Cookies\system@ad.yieldmanager[3].txt

C:\Dokumente und Einstellungen\NetworkService\Cookies\system@partners.webmasterplan[2].txt
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-05 bis 2008-09-05  ))))))))))))))))))))))))))))))

.
 

2008-09-05 14:59 . 2008-09-05 14:59        <DIR>        d--------        C:\Programme\Sun

2008-09-05 13:45 . 2008-09-05 13:51        <DIR>        d--------        C:\Programme\Navilog1

2008-09-05 13:19 . 2008-09-05 13:27        1,058        --a------        C:\WINDOWS\system32\tmp.reg

2008-09-04 20:46 . 2008-09-05 13:10        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-09-03 13:34 . 2008-09-03 13:34        <DIR>        d--------        C:\Programme\7-Zip

2008-09-03 00:25 . 2008-09-03 00:25        <DIR>        d--------        C:\Programme\MSXML 4.0

2008-09-03 00:03 . 2008-09-03 00:03        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3

2008-08-31 18:57 . 2008-08-31 18:57        <DIR>        dr-------        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Brother

2008-08-27 23:13 . 2008-08-27 23:13        <DIR>        d--------        C:\Programme\Sierra

2008-08-27 13:06 . 2008-08-27 13:06        <DIR>        d--------        C:\Programme\Ubisoft

2008-08-25 22:43 . 2008-09-01 23:17        <DIR>        d--------        C:\Programme\Microsoft Games

2008-08-25 16:59 . 2008-08-25 17:13        278,984        --a------        C:\WINDOWS\system32\drivers\atksgt.sys

2008-08-25 16:59 . 2008-08-25 16:59        25,416        --a------        C:\WINDOWS\system32\drivers\lirsgt.sys

2008-08-22 17:42 . 2008-08-22 17:42        <DIR>        d--------        C:\Programme\thriXXX

2008-08-21 18:31 . 2008-08-21 18:31        <DIR>        d--------        C:\Programme\Bullfrog

2008-08-21 18:31 . 2008-08-21 18:31        <DIR>        d--------        C:\Dokumente und Einstellungen\*****\WINDOWS

2008-08-16 17:45 . 2008-08-16 17:45        <DIR>        d--------        C:\Programme\HyCam2

2008-08-12 15:17 . 2008-08-12 15:17        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SecuROM

2008-08-12 15:17 . 2008-08-12 15:17        107,888        --a------        C:\WINDOWS\system32\CmdLineExt.dll

2008-08-09 16:34 . 2008-09-01 17:32        <DIR>        d--------        C:\Programme\DkZ Studio
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-05 13:00        ---------        d-----w        C:\Programme\Norton Security Scan

2008-09-05 12:59        ---------        d-----w        C:\Programme\Java

2008-09-04 18:36        ---------        d-----w        C:\Programme\Zoom Player

2008-09-03 13:29        ---------        d-----w        C:\Programme\TeamViewer3

2008-08-30 20:31        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DNA

2008-08-30 09:32        ---------        d-----w        C:\Programme\DNA

2008-08-28 14:33        ---------        d-----w        C:\Programme\ICQ6

2008-08-27 21:13        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-08-26 15:47        ---------        d-----w        C:\Programme\KONAMI

2008-08-09 19:38        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\ICQ

2008-07-30 06:53        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\BitTorrent

2008-07-30 03:07        ---------        d-----w        C:\Programme\ABBYY FineReader 9.0

2008-07-30 03:03        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ABBYY

2008-07-29 20:19        ---------        d-----w        C:\Programme\MSXML 6.0

2008-07-29 14:25        ---------        d-----w        C:\Programme\MSBuild

2008-07-29 14:22        ---------        d-----w        C:\Programme\Reference Assemblies

2008-07-29 13:54        ---------        d-----w        C:\Programme\Microsoft.NET

2008-07-29 01:02        ---------        d-----w        C:\Programme\ICQToolbar

2008-07-28 23:16        ---------        d-----w        C:\Programme\Malwarebytes' Anti-Malware

2008-07-28 23:16        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes

2008-07-28 23:16        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-07-28 03:18        ---------        d-----w        C:\Programme\Teamspeak2_RC2

2008-07-28 03:10        ---------        d-----w        C:\Programme\Windows Live

2008-07-27 11:53        ---------        d-----w        C:\Programme\Veoh Networks

2008-07-23 18:09        38,472        ----a-w        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-07-23 18:09        17,144        ----a-w        C:\WINDOWS\system32\drivers\mbam.sys

2008-07-22 21:04        ---------        d-----w        C:\Programme\FreeByte

2008-07-21 21:09        ---------        d-----w        C:\Programme\CCleaner

2008-07-21 19:18        ---------        d-----w        C:\Programme\Google

2008-07-21 19:10        ---------        d-----w        C:\Programme\Outspark

2008-07-21 19:10        ---------        d-----w        C:\Programme\ArtMoney

2008-07-21 19:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems

2008-07-21 19:05        ---------        d-----w        C:\Programme\GTA San Andreas

2008-07-21 18:51        ---------        d-----w        C:\Programme\ClearProg

2008-07-21 18:39        ---------        d-----w        C:\Programme\Trend Micro

2008-07-17 23:32        ---------        d-----w        C:\Programme\psx emulation cheater

2008-07-11 05:38        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-07-10 13:27        ---------        d-----w        C:\Programme\Logitech

2008-07-10 13:27        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Logitech

2008-07-09 15:05        ---------        d-----w        C:\Programme\directx

2008-07-09 15:00        ---------        d-----w        C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\ICQ Toolbar

2008-07-09 14:42        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-07-09 14:42        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AdobeUM

2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-07-05 10:33        ---------        d-----w        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\fltk.org

2008-07-05 07:31        9        ----a-w        C:\Dokumente und Einstellungen\*****\ZincPasswords.bin

2008-07-05 07:31        29,982        ----a-w        C:\Dokumente und Einstellungen\*****\ZincGamesList.bin

2008-07-05 07:25        ---------        d-----w        C:\Programme\Zinc

2008-07-05 06:34        ---------        d-----w        C:\Programme\MAME32k

2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll

2008-06-23 15:38        665,088        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-03-16 17:19        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]

"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 3587120]

"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-04 7307264]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-04 86016]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-04 160768]

"nwiz"="nwiz.exe" [2005-11-04 C:\WINDOWS\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Counter-Strike\\hl.exe"=

"C:\\Programme\\The All-Seeing Eye\\eye.exe"=

"C:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Valve\\Steam\\SteamApps\\*****1992\\counter-strike\\hl.exe"=

"C:\\Programme\\Valve\\Steam\\SteamApps\\*****1992\\day of defeat\\hl.exe"=

"C:\\Programme\\Valve\\Steam\\SteamApps\\*****1992\\condition zero deleted scenes\\hl.exe"=

"C:\\Programme\\Valve\\Steam\\SteamApps\\*****1992\\condition zero\\hl.exe"=

"C:\\Programme\\HLSW\\hlsw.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=

"C:\\Programme\\Metin2_Germany\\metin2.bin"=

"C:\\Programme\\DNA\\btdna.exe"=

"C:\\Programme\\BitTorrent\\bittorrent.exe"=

"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

"C:\\Dokumente und Einstellungen\\*****\\Desktop\\Pes6\\pes6.exe"=

"C:\\WINDOWS\\system32\\dplaysvr.exe"=

"C:\\Programme\\Microsoft Games\\Age of Empires II\\empires2.exe"=

"C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=

"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
 

R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0-Lizenzierungsdienst;C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-09-24 566560]

S3 hid7906;hid7906;C:\WINDOWS\system32\drivers\hid7906.sys [2006-06-28 53793]
 

*Newly Created Service* - CATCHME

.

Inhalt des "geplante Tasks" Ordners

.

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\ocxka5vw.default\

FF -: plugin - C:\Programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll

FF -: plugin - C:\Programme\DNA\plugins\npbtdna.dll

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll

FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2008-09-05 15:04:25

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-05 15:05:10

ComboFix-quarantined-files.txt  2008-09-05 13:05:03

ComboFix2.txt  2008-07-21 21:40:52
 

Pre-Run: 16 Verzeichnis(se), 75,107,864,576 Bytes frei

Post-Run: 18 Verzeichnis(se), 75,272,499,200 Bytes frei
 

167        --- E O F ---        2008-09-02 22:25:14

Hier nochmal Hijackthis log, falls du wat verdächtiges findest...

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:08:10, on 05.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - C:\Programme\Xilisoft\YouTube Video Converter\upod_link.HTM

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: ABBYY FineReader 9.0-Lizenzierungsdienst (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Programme\ABBYY FineReader 9.0\NetworkLicenseServer.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 4723 bytes

see ya

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Das sieht schon mal sehr gut aus, und wenn nun deinerseits auch keine Probleme mehr bestehen, würde ich dich als entlassen markieren. ;)

Achja, und halte dich demnächst von 3D-Online Spielen (thrixxx) fern, durch sowas fängst du dir nämlich solche Spyware ein. ;)

Gruß
Sunny

höhö ok mach ich :D

Vielen Dank man sieht sich..^^