Trojaner-Board - TR/Crypt.XPACK.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/60239-tr-crypt-xpack-gen.html)

TR/Crypt.XPACK.Gen

Hallo zusammen,

gestern oder vorgestern musste die svchost.exe einfach beendet werden... Wusste nicht wieso und warum. Es leif auch alles ganz gut weiter. Doch als ich heute meinen PC startete, fand AntiVir in C:\WINDOWS\system32\svchost.exe das Trojanische Pferd TR/Crypt.XPACK.Gen. Hab aber immer noch nichts an Auswirkungen gemerkt. Hab ihn zur Vorsicht trotzdem vom Internet entfernt.

HiJackThis-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:35:33, on 19.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\FolderSize\FolderSizeSvc.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\SMSC\SetIcon.exe

C:\Programme\Home Cinema\TV Enhance\TVEService.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe

C:\Programme\Logitech\QuickCam\Quickcam.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Hama\Penalizer Pro Gaming Keyboard\control.exe

C:\Programme\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Archos\ArchosLink\ArchosLink.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\ICQ6\ICQ.exe

C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Programme\Mozilla Firefox\firefox.exe

c:\programme\avira\antivir personaledition classic\avcenter.exe

c:\programme\avira\antivir personaledition classic\avscan.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe

C:\Programme\Hama\Penalizer Pro Gaming Keyboard\traicon.exe

C:\Programme\TimeLeft3\TimeLeft.exe

C:\Dokumente und Einstellungen\***\Anwendungsdaten\U3\1739911136C02E7D\LaunchPad.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Go!Zilla IE Helper - {E1FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GoZilla\GozCatch.dll

O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)

O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [BtTray] "C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [K3805] "C:\Programme\Hama\Penalizer Pro Gaming Keyboard\control.exe"

O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ArchosLink] C:\Programme\Archos\ArchosLink\ArchosLink.exe /swmin

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: TimeLeft.lnk = C:\Programme\TimeLeft3\TimeLeft.exe

O4 - Global Startup: LaunchU3.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Penalizer Pro Gaming Keyboard.lnk = C:\Programme\Hama\Penalizer Pro Gaming Keyboard\traicon.exe

O8 - Extra context menu item: &Abonnieren ArchosLink - file://C:\Programme\Archos\ArchosLink\\script.js

O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~3\Office\1031\phdintl.dll/phdContext.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152

O17 - HKLM\System\CCS\Services\Tcpip\..\{8157E9F6-19C2-4C25-8F72-CF5CB9C29202}: NameServer = 192.168.100.10,0.0.0.0

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)

O23 - Service: BlueSoleilCS - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe

O23 - Service: BsHelpCS - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe

O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe

O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 12000 bytes

Ist da noch was zu retten oder muss ich neu installieren?

Vielen, vielen Dank für eure Hilfe!

Grüße
Alex

Hi,
folge bitte der Anleitung:

1.)
Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
MalwareBytes Anti-Malware:

Lade dir MalwareBytes Anti-Malware
Folge den Anweisungen der Anleitung und poste das Logfile

Danke, bin schon dabei.

Mir ist aufgefallen, dass der Prozess ziemlich oft läuft. Ist das normal?

Außerdem hat die Datei versucht aufs Internet zuzugreifen. Siehe Screenshot.

Blacklight hat übrigens nichts gefunden, hier der Log:

Code:

09/19/08 15:03:51 [Info]: BlackLight Engine 1.0.67 initialized

09/19/08 15:03:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)

09/19/08 15:03:52 [Note]: 7019 4

09/19/08 15:03:52 [Note]: 7005 0

09/19/08 15:03:56 [Note]: 7006 0

09/19/08 15:03:56 [Note]: 7011 2824

09/19/08 15:03:56 [Note]: 7026 0

09/19/08 15:03:57 [Note]: 7026 0

09/19/08 15:04:06 [Note]: FSRAW library version 1.7.1024

09/19/08 15:38:35 [Note]: 2000 1012

09/19/08 15:38:35 [Note]: 2000 1012

09/19/08 15:38:35 [Note]: 2000 1012

09/19/08 16:12:10 [Note]: 7007 0

Der zweite Scan läuft noch.

Grüße
Alex

svchost.exe ist der allgemeine Hostprozess von Windows und es ist normal, dass er öfter auftaucht.
Mit ihm gehen verschiedene Programme ins Netz.

Mein Rat: Den Schrott namens ZoneAlarm deinstallieren.

Fakt ist, das AntiVir svchost.exe angemeckert hat.
Bist du dir sicher, das der Prozess im system32-Ordner liegt und nicht im WINDOWS-Ordner?

BIn mir eig schon sicher, dass es da war. Hab die Datei grad nochmal mit AV geprüft und da kam nix raus...

AV hat den Trojaner auch noch in C:\Windows\Temp\wJQs.exe gefunden.

Ich lass den anderen Scan jetzt noch durchlaufen und poste dann mal den Log.

Meinste das Problem könnt sich auch einfach in Lust aufgelöst haben?

Zitat:

Meinste das Problem könnt sich auch einfach in Lust aufgelöst haben?

Glaub ich nicht.
Evtl. wollte die wJQs.exe über SVHost ins Internet greifen und deswegen hat Avira SVHost gemeldet.
Das ist erstaunlich bis beunruhigend.
Gehe deshalb so vor:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Windows\Temp\wJQs.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Die wJQs.exe hab ich leider gelöscht. Sry!

Dann hab ich ja nur noch die svchost.exe.
Das hier spuckt die Seite aus:

Code:

File size: 14336 bytes

MD5...: 65a819b121eb6fdab4400ea42bdffe64

SHA1..: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

SHA256: 1569ba783cec423f6d01f8aded247d60e17b14f7ade34f58c18b882ab7068bf5

SHA512: b07fc73c236bd312cb775731f1b1fd70820aaaff5f65a0f14bdd7dbedabca186

cf291dca243aed39dcd9fb86ee766c58eae0c35f61df7a484ebc7a7da6f1435c

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1002509

timedatestamp.....: 0x41107ed6 (Wed Aug 04 06:14:46 2004)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2c00 0x2c00 6.29 420df24e201392421fb0026174c3d87c

.data 0x4000 0x1f0 0x200 1.61 553c0ebbbc67abab785f2065a062b522

.rsrc 0x5000 0x418 0x600 2.54 2997285df9158db5a62ffb42a2fd0d07
 

( 4 imports )

> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW

> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook

> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid

> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening
 

( 0 exports )

Alex

Zitat:

Die wJQs.exe hab ich leider gelöscht. Sry!

Sehr schlecht, wie hast du sie gelöscht?
Mit Avira oder in den Papierkorb gesteckt?

Shift+Entf^^

Also komplett :(

Schlecht.
Dann mach bitte noch einen Scan mit Malwarebytes.

Ist jetzt fertig und hat auch was gefunden.

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1175

Windows 5.1.2600 Service Pack 2
 

19.09.2008 20:38:15

mbam-log-2008-09-19 (20-38-08).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)

Durchsuchte Objekte: 459851

Laufzeit: 4 hour(s), 56 minute(s), 30 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\system32\h@tkeysh@@k.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Code:

File size: 20480 bytes

MD5...: 116ec20265b00cfe389518e2a0c7ed81

SHA1..: d04c903ef681bb18dbf337ffa7ff2a9ccc8bedd6

SHA256: ef9d09e51c42bc04d48444b2517471ea07f2d8a6a6a2e67dd635b7bf95bf8b7a

SHA512: 594f32c4e51a87294bcfa1735254d04d5d43a38ad2ab7a39f7157bac75b959ee

327053df79ee2993a8a2f4e9faafb5c8868283ae2bac8745cb916d5565171cef

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ 4.x (69.2%)

Win32 Executable MS Visual C++ (generic) (19.3%)

Win32 Executable Generic (4.3%)

Win32 Dynamic Link Library (generic) (3.8%)

Win16/32 Executable Delphi generic (1.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x10001230

timedatestamp.....: 0x37519f4b (Sun May 30 20:27:55 1999)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1ae0 0x1c00 6.29 1ab89360bd44fdf26f9ad0c2b9f51f57

.rdata 0x3000 0x3d3 0x400 4.91 c15b5400e111704d088de038a114dd61

.data 0x4000 0x2658 0x2400 0.30 d16050674fd77032a399dade97ad43e3

.idata 0x7000 0x39a 0x400 4.44 0d1e0ab9292fc55e7dfeef77146b4cf4

.reloc 0x8000 0x2ee 0x400 4.52 df5c183014604eb50edd264eb7ee4c13
 

( 2 imports )

> USER32.dll: CallNextHookEx, IsWindow, SendMessageA, FindWindowExA, FindWindowA

> KERNEL32.dll: HeapCreate, HeapDestroy, LoadLibraryA, VirtualAlloc, HeapFree, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, HeapAlloc, VirtualFree, GetModuleFileNameA, GetCPInfo, GetACP, GetOEMCP, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte
 

( 1 exports )

ClientGetKeyProc

Bitte komplett posten - das hier fehlt:
http://www.imgimg.de/uploads/CPX29f4ae02JPG.jpg
(Ein Beispiel)

Sry. Habs mal als Screen gemacht, ist übersichtlicher.

Entschuldige die schlechte Quali.:rolleyes:

Sieht böse aus, ein Keylogger.
Dem rücken wir jetzt zu Leibe:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Code:

ComboFix 08-09-19.02 - Alexander 2008-09-19 21:26:50.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.453 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Alexander\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\h@tkeysh@@k.dll

Current_NameSpace_Catalog        REG_SZ                 NameSpace_Catalog5

Current_Protocol_Catalog        REG_SZ                 Protocol_Catalog9

DisplayString        REG_SZ                 NLA-Namespace

DisplayString        REG_SZ                 NTDS

DisplayString        REG_SZ                 TCP/IP

Enabled        REG_DWORD              1 (0x1)

H:\install.exe

HKEY_LOCAL_MACHINE\software\swearware\lsp

HKEY_LOCAL_MACHINE\software\swearware\lsp\services

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000001

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000002

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000003

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000001

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000002

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000003

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000004

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000005

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000006

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000007

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000008

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000009

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000010

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000011

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000012

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000013

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000014

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000015

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000016

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000017

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000018

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000019

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000020

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000021

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000022

HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000023

LibraryPath        REG_SZ                 %SystemRoot%\System32\mswsock.dll

LibraryPath        REG_SZ                 %SystemRoot%\System32\winrnr.dll

Next_Catalog_Entry_ID        REG_DWORD              2596 (0xa24)

Num_Catalog_Entries        REG_DWORD              23 (0x17)

Num_Catalog_Entries        REG_DWORD              3 (0x3)

PackedCatalogItem        REG_EXPAND_SZ          %SystemRoot%\system32\mswsock.dll

PackedCatalogItem        REG_EXPAND_SZ          %SystemRoot%\system32\rsvpsp.dll

ProviderId        REG_EXPAND_SZ          :$Bf¨;¦Jº¥.×Ýƒ

ProviderId        REG_EXPAND_SZ          @ž~Ï®Z

ProviderId        REG_EXPAND_SZ          î7&;€åÏ¥U

Serial_Access_Num        REG_DWORD              4 (0x4)

Serial_Access_Num        REG_DWORD              400 (0x190)

SteelWerX Registry Console Tool 2.0

StoresServiceClassInfo        REG_DWORD              0 (0x0)

SupportedNameSpace        REG_DWORD              12 (0xc)

SupportedNameSpace        REG_DWORD              15 (0xf)

SupportedNameSpace        REG_DWORD              32 (0x20)

Version        REG_DWORD              0 (0x0)

WinSock_Registry_Version        REG_SZ                 2.0

Written by Bobbi Flekman 2006 (C)
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-19 bis 2008-09-19  ))))))))))))))))))))))))))))))

.
 

2008-09-19 21:35 .         804                C:\WINDOWS\system32\CSC4.tmp

2008-09-19 21:15 . 2008-09-19 21:15        <DIR>        d--------        C:\Programme\CCleaner

2008-09-19 15:03 . 2008-09-19 15:03        <DIR>        d--------        C:\Programme\blacklight

2008-09-19 15:01 . 2008-09-19 15:05        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-09-19 15:01 . 2008-09-19 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-19 15:01 . 2008-09-19 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Malwarebytes

2008-09-19 15:01 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-19 15:01 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-09-19 14:34 . 2008-09-19 14:34        <DIR>        d--------        C:\Programme\Trend Micro

2008-09-15 21:51 . 2008-09-15 21:52        <DIR>        d--------        C:\Programme\Dr. Hardware 2008

2008-09-15 21:51 . 2005-12-01 11:49        23,600        --a------        C:\WINDOWS\system32\drivers\drhard.sys

2008-09-15 21:51 . 2005-12-01 15:38        20,651        --a------        C:\WINDOWS\system32\drivers\DRHARD.VXD

2008-09-15 21:51 . 2005-12-01 15:38        20,651        --a------        C:\WINDOWS\system32\DRHARD.VXD

2008-09-15 21:31 . 2008-09-15 21:31        <DIR>        d--------        C:\Programme\SiSoftware

2008-09-13 12:24 . 2008-09-13 12:24        <DIR>        d--------        C:\Programme\MSECache

2008-09-07 17:43 . 2007-09-07 23:48        188,416        --a------        C:\WINDOWS\ICSharpCode.SharpZipLib.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-19 19:39        8,366,112        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat

2008-09-19 19:38        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3

2008-09-19 19:33        0        ----a-w        C:\WINDOWS\system32\drivers\lvuvc.hs

2008-09-19 19:32        102,056        --sha-w        C:\WINDOWS\system32\drivers\fidbox.idx

2008-09-18 19:41        ---------        d-----w        C:\Programme\FTP Commander

2008-09-17 17:52        ---------        d-----w        C:\Programme\Mozilla Thunderbird

2008-09-16 16:53        2,505,216        ----a-w        C:\WINDOWS\Internet Logs\xDB1A.tmp

2008-09-16 14:47        4,715,946        ----a-w        C:\WINDOWS\Internet Logs\tvDebug.zip

2008-09-14 15:41        ---------        d-----w        C:\Programme\Java

2008-09-12 20:39        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Azureus

2008-09-07 13:19        ---------        d-----w        C:\Programme\ICQ6

2008-09-07 13:15        743,424        ----a-w        C:\WINDOWS\Internet Logs\xDB19.tmp

2008-08-16 05:22        ---------        d-----w        C:\Programme\Flash Renamer

2008-08-16 05:22        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RL Vision

2008-08-15 17:19        ---------        d-----w        C:\Programme\MediaMonkey

2008-08-15 14:26        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Skype

2008-08-15 14:24        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\skypePM

2008-08-15 10:05        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\ID3-TagIT 3

2008-08-15 09:52        ---------        d-----w        C:\Programme\ID3-TagIT 3

2008-08-15 09:52        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ID3-TagIT 3

2008-08-15 01:10        831,488        ----a-w        C:\WINDOWS\Internet Logs\xDB18.tmp

2008-08-14 21:28        ---------        d-----w        C:\Programme\FlashMute

2008-08-14 12:01        ---------        d-----w        C:\Programme\MASPware

2008-08-14 10:08        ---------        d-----w        C:\Programme\gsmd

2008-08-13 18:59        ---------        d-----w        C:\Programme\Microsoft ActiveSync

2008-08-11 09:11        ---------        d-----w        C:\Programme\Spb Software House

2008-08-11 06:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip

2008-08-08 17:32        ---------        d-----w        C:\Programme\Microsoft.NET

2008-08-04 15:02        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Nokia Multimedia Player

2008-08-03 21:29        760,832        ----a-w        C:\WINDOWS\Internet Logs\xDB17.tmp

2008-08-03 08:26        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\ICQ

2008-08-02 09:41        77,824        ----a-w        C:\Dokumente und Einstellungen\Alexander\swt-gdip-win32-3430.dll

2008-08-02 09:41        323,584        ----a-w        C:\Dokumente und Einstellungen\Alexander\swt-win32-3430.dll

2008-08-01 18:24        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3

2008-08-01 17:46        ---------        d-----w        C:\Programme\Azureus

2008-08-01 17:20        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Ceedo

2008-07-30 11:49        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Axara

2008-07-30 11:49        ---------        d-----w        C:\Programme\Axara

2008-07-30 11:46        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite

2008-07-30 11:46        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\PC Suite

2008-07-30 11:46        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Nokia

2008-07-30 11:44        ---------        d-----w        C:\Programme\Nokia

2008-07-30 11:44        ---------        d-----w        C:\Programme\Gemeinsame Dateien\PCSuite

2008-07-30 11:44        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Nokia

2008-07-30 11:44        ---------        d-----w        C:\Programme\DIFX

2008-07-30 11:43        ---------        d-----w        C:\Programme\PC Connectivity Solution

2008-07-30 11:39        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations

2008-07-26 22:18        519,680        ----a-w        C:\WINDOWS\Internet Logs\xDB16.tmp

2008-07-25 12:42        2,333,696        ----a-w        C:\WINDOWS\Internet Logs\xDB15.tmp

2008-07-25 12:41        1,700,864        ----a-w        C:\WINDOWS\Internet Logs\xDB14.tmp

2008-07-24 13:37        ---------        d-----w        C:\Programme\eMule

2008-07-24 13:20        ---------        d-----w        C:\Programme\weblin

2008-07-24 13:20        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\zweitgeist

2008-07-24 13:19        ---------        d-----w        C:\Programme\webcamXP

2008-07-24 13:19        ---------        d-----w        C:\Programme\Uplink Demo

2008-07-24 13:19        ---------        d-----w        C:\Programme\Games

2008-07-24 13:17        ---------        d-----w        C:\Programme\NewsReactor

2008-07-24 13:16        ---------        d-----w        C:\Programme\MyDVD

2008-07-24 13:13        ---------        d-----w        C:\Programme\FreePDF_XP

2008-07-24 13:12        ---------        d-----w        C:\Programme\RestaurantManager

2008-07-24 13:12        ---------        d-----w        C:\Programme\NeoSmart Technologies

2008-07-21 19:19        ---------        d-----w        C:\Programme\FolderSize

2008-07-21 04:50        298,496        ----a-w        C:\WINDOWS\Internet Logs\xDB12.tmp

2008-07-21 04:50        2,251,264        ----a-w        C:\WINDOWS\Internet Logs\xDB13.tmp

2008-07-20 19:59        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\uTorrent

2008-07-20 18:16        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-07-20 16:30        ---------        d-----w        C:\Programme\K!TV

2008-07-20 16:03        ---------        d-----w        C:\Programme\ChrisTV Lite

2008-07-20 15:37        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\TVcentral-Core

2008-07-20 13:51        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\VMedia

2008-07-20 12:37        ---------        d-----w        C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Buhl Data Service

2008-07-20 12:31        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH

2008-07-20 12:30        ---------        d-----w        C:\Programme\Sceneo

2008-07-20 12:30        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Sceneo

2008-07-20 12:30        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Buhl Data Service

2008-07-20 03:01        668,672        ----a-w        C:\WINDOWS\Internet Logs\xDB10.tmp

2008-07-20 03:01        2,195,456        ----a-w        C:\WINDOWS\Internet Logs\xDB11.tmp

2008-07-19 16:45        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2008-07-09 18:42        102,400        ----a-w        C:\WINDOWS\system32\FlashRenHelper.dll

2008-07-09 07:05        75,248        ----a-w        C:\WINDOWS\zllsputility.exe

2008-07-09 07:05        54,672        ----a-w        C:\WINDOWS\system32\vsutil_loc0407.dll

2008-07-09 07:05        42,384        ----a-w        C:\WINDOWS\zllsputility_loc0407.dll

2008-07-09 07:05        21,904        ----a-w        C:\WINDOWS\system32\imsinstall_loc0407.dll

2008-07-09 07:05        17,808        ----a-w        C:\WINDOWS\system32\imslsp_install_loc0407.dll

2008-07-09 07:05        1,086,952        ----a-w        C:\WINDOWS\system32\zpeng24.dll

2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-07-05 21:54        543,744        ----a-w        C:\WINDOWS\Internet Logs\xDBF.tmp

2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll

2008-06-23 16:14        672,768        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-06-21 22:45        228,352        ----a-w        C:\WINDOWS\Internet Logs\xDBE.tmp

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-04-04 20:27        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

2006-10-09 11:55        8        --sh--r        C:\WINDOWS\system32\EC23ACB85A.sys

2006-05-03 09:06        163,328        --sh--r        C:\WINDOWS\system32\flvDX.dll

2006-10-09 11:55        4,704        --sha-w        C:\WINDOWS\system32\KGyGaAvL.sys

2007-02-21 10:47        31,232        --sh--r        C:\WINDOWS\system32\msfDX.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]

"ArchosLink"="C:\Programme\Archos\ArchosLink\ArchosLink.exe" [2007-10-01 1863680]

"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 7700480]

"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]

"LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152]

"TVEService"="C:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2006-10-19 151552]

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 267064]

"BtTray"="C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe" [2007-09-10 258134]

"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]

"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]

"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 406016]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-05 282624]

"K3805"="C:\Programme\Hama\Penalizer Pro Gaming Keyboard\control.exe" [2007-11-12 225280]

"TVBroadcast"="C:\Programme\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe" [2008-04-11 937984]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2006-10-06 C:\WINDOWS\system32\nwiz.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-11-13 1289000]
 

C:\Dokumente und Einstellungen\Alexander\Startmen\Programme\Autostart\

TimeLeft.lnk - C:\Programme\TimeLeft3\TimeLeft.exe [2008-07-05 2037936]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= i420vfw.dll

"VIDC.MJPG"= Pvmjpg30.dll

"VIDC.PIM1"= pclepim1.dll

"vidc.yv12"= yv12vfw.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\WINDOWS\\system32\\fxsclnt.exe"=

"C:\\Programme\\NetMeeting\\Conf.exe"=

"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programme\\MSN Messenger\\livecall.exe"=

"C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe"=

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=

"C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe"=

"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=

"C:\\Programme\\uTorrent\\uTorrent.exe"=

"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"C:\\Programme\\Skype\\Phone\\Skype.exe"=

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"=

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-01-20 18208]

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728]

R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264]

R2 BlueSoleilCS;BlueSoleilCS;C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2007-09-14 1155180]

R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [2008-04-22 1808896]

R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]

R2 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-03-24 14336]

R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]

R3 BsHelpCS;BsHelpCS;C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe [2007-08-17 57447]

R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]

S3 drhard;DRHARD;C:\WINDOWS\system32\DRIVERS\DRHARD.SYS [2005-12-01 23600]

S3 ElanFltr;Pro Gaming Keyboard;C:\WINDOWS\system32\Drivers\ElanFltr.sys [2007-05-23 48128]

S3 PVUSB;CESG502 USB Driver;C:\WINDOWS\system32\DRIVERS\CESG502.sys [2008-01-18 40672]

S3 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-09-08 98488]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-23 307968]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2008-09-19 C:\WINDOWS\Tasks\1-Click Maintenance.job

- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 10:58]
 

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job

- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 10:58]

.

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Mozilla\Firefox\Profiles\24mcmdqd.Alex\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.t-online.de/

FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-19 21:34:38

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

Prozess: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\system32\nview.dll

.

Code:

------------------------ Weitere laufende Prozesse ------------------------

.

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\ehome\ehrecvr.exe

C:\WINDOWS\ehome\ehSched.exe

C:\Programme\FolderSize\FolderSizeSvc.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Programme\Common Files\X10\Common\X10nets.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe

C:\Programme\SMSC\SetIcon.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe

C:\Programme\Hama\Penalizer Pro Gaming Keyboard\traicon.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\ehome\ehmsas.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3\1739911136C02E7D\LaunchPad.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-19 21:44:17 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-09-19 19:44:07
 

Vor Suchlauf: 8.050.823.168 Bytes frei

Nach Suchlauf: 8,105,537,536 Bytes frei
 

359        --- E O F ---        2008-09-11 06:36:35

Sry für den Doppelpost, aber der Log war zu lang...

Da wurde noch schön was weggelöscht.
Hier hast du deine Virenschleuder:

Zitat:

2008-07-24 13:37 --------- d-----w C:\Programme\eMule

Achja,
Keylogger ist noch da.
Der wird so entfernt:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

files to delete:

C:\WINDOWS\system32\h@tkeysh@@k.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  file "C:\WINDOWS\system32\h@tkeysh@@k.dll" not found!

Deletion of file "C:\WINDOWS\system32\h@tkeysh@@k.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Okay, die scheint aus unerklärlichen Gründen gelöscht.
Jetzt kannst du ComboFix deinstallieren:

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Lol^^

Das war ausnahmsweise aber nicht ich :P

Bin ich damit fertig?

Ja, damit bist du fertig. ;)

wenn du willst, kann ich dir noch ein Tool aufbrummen, um sicher zu gehen, das alles weg ist. :D

Nach all den andren zeih ich das jetzt auch noch durch :D

Okay. :D

Voilà:

SDFix anwenden:

Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
http://img.bleepingcomputer.com/swr-...ix-install.jpg
Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

So, hier noch der abschließende Log, wurde aber nix gefunden:

Code:

SDFix: Version 1.227 

Run by Alexander on 19.09.2008 at 22:50
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix
 
 Checking Services :
 
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

No Trojan Files Found
 
 
 
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-19 23:18:15

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

scanning hidden registry entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"

"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"

"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"

"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"

"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"

"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe:*:Enabled:BlueSoleilCS"

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe"="C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe:*:Enabled:Shtml8.exe"

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager"

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio"

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"

"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi"

"C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe"="C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe:*:Enabled:CyberLink PowerDirector"

"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"

"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"

"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"

"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"

"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
 
 Remaining Files :
 
 
 
 Files with Hidden Attributes :
 

Mon  9 Oct 2006             8 ..SHR --- "C:\WINDOWS\system32\EC23ACB85A.sys"

Wed  3 May 2006       163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"

Mon  9 Oct 2006         4,704 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Wed 21 Feb 2007        31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"

Sun 26 Jun 2005       616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll"

Tue 21 Jun 2005        45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll"

Thu  1 Nov 2007        72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe"

Fri 27 Oct 2006        16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll"

Fri 19 Sep 2008           120 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"

Tue  4 Jun 2002        84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll"

Tue  4 Jun 2002        44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll"

Tue 10 Dec 2002        73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll"

Tue 10 Dec 2002        65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll"

Sun  9 Jun 2002        36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll"

Tue  4 Jun 2002        20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll"

Tue 10 Dec 2002       102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll"

Tue 10 Dec 2002       176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll"

Tue 10 Dec 2002       208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll"

Tue 10 Dec 2002       217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll"

Sun  9 Jun 2002        40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll"

Sun  4 Nov 2001       225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll"

Tue 10 Apr 2001       225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll"

Fri 20 Feb 2004       232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll"

Sun  9 Jun 2002       525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll"

Tue 10 Dec 2002       245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll"

Tue 10 Dec 2002        45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll"

Tue 10 Dec 2002        98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll"

Tue 10 Dec 2002        94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll"

Tue 10 Dec 2002        90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll"

Tue 10 Dec 2002       102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll"

Sun  9 Jun 2002        49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll"

Fri  2 May 2008     3,493,888 A..H. --- "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3\temp\Launchpad Removal.exe"

Fri 23 May 2008        11,115 A.SH. --- "C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"

Fri 19 Sep 2008         5,684 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE1.tmp"

Fri 19 Sep 2008         5,684 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE2.tmp"

Fri 19 Sep 2008         5,938 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBED.tmp"
 
 Finished!

:aplaus: :aplaus:

Vielen Dank für deine Hilfe!! Endlich wieder frei. :) Danke für die viele Unterstützung. Sollte mehr von solchen Leuten, wie dir geben. ;)

Echt klasse!

:dankeschoen: :dankeschoen:

http://www.smiliegenerator.de/s35/smilies-37531.png

:bussi: ^^

Aber was für Schaden kann der Keylogger jetzt angerichtet haben? Was leitet der weiter? Nur Passwörter?

Kein Problem, war Ehrensache. :party:
Auf jedenfall solltest du alle Passwörter von einem anderen Rechner aus ändern, von dem du weißt, dass er 100% sauber ist.

Keylogger zeichnen Tastatureingaben auf und senden die Logs an Dritte weiter.

Schönen Abend noch :juul:

OK, danke, werd ich in Angriff nehmen. ;)