XP Antispyware Trojaner
 

Hi,

hab mir auch diesen XP Antispayware Trojaner eingefangen und durch die Hilfe in anderen Beiträgen zu diesem Thema mit CCleaner und Combofix alles genau nach Anweisung abgearbeitet.

Hier nun das Combofix Logfile



ComboFix 08-10-11.02 - copyRiot 2008-10-12 9:58:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.519 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\copyRiot\Desktop\prüfung.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\copyRiot\Cookies\ezibyjik.com
C:\Dokumente und Einstellungen\copyRiot\Cookies\olada.ban
C:\Dokumente und Einstellungen\copyRiot\Cookies\uvexycocyx.dl
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk
C:\Dokumente und Einstellungen\copyRiot\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\AVEngn.dll
C:\Programme\XP_AntiSpyware\comp.dat
C:\Programme\XP_AntiSpyware\data\daily.cvd
C:\Programme\XP_AntiSpyware\htmlayout.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
C:\Programme\XP_AntiSpyware\pthreadVC2.dll
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\Programme\XP_AntiSpyware\wscui.cpl
C:\Programme\XP_AntiSpyware\XP_Antispyware.cfg
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
C:\WINDOWS\brastk.exe
C:\WINDOWS\karna.dat
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\karna.dat
C:\WINDOWS\system32\sysdm.exe


.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 09:59 . 2004-08-10 21:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-10-12 09:25 . 2008-10-12 09:25 <DIR> d-------- C:\Programme\CCleaner
2008-10-12 09:03 . 2008-10-04 21:40 196,823 --a------ C:\WINDOWS\system32\_scui.cpl
2008-10-12 09:03 . 2008-10-12 09:03 19,285 --a------ C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\bixoz.pif
2008-10-12 09:03 . 2008-10-12 09:03 19,171 --a------ C:\Programme\Gemeinsame Dateien\sedezez.com
2008-10-12 09:03 . 2008-10-12 09:03 18,547 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nyxula.com
2008-10-12 09:03 . 2008-10-12 09:03 17,506 --a------ C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\iqyny.scr
2008-10-12 09:03 . 2008-10-12 09:03 16,755 --a------ C:\Programme\Gemeinsame Dateien\syjanehola.bin
2008-10-12 09:03 . 2008-10-12 09:03 16,235 --a------ C:\WINDOWS\bejul.scr
2008-10-12 09:03 . 2008-10-12 09:03 15,048 --a------ C:\WINDOWS\ymyxuro.inf
2008-10-12 09:03 . 2008-10-12 09:03 13,684 --a------ C:\WINDOWS\ujazulafe.scr
2008-10-12 09:03 . 2008-10-12 09:03 10,749 --a------ C:\WINDOWS\system32\tesu.pif
2008-10-12 09:03 . 2008-10-12 09:03 10,456 --a------ C:\WINDOWS\ofydi.exe
2008-10-12 09:02 . 2008-10-12 09:02 65,428 --a------ C:\WINDOWS\system32\wini104552663.exe
2008-10-12 08:59 . 2008-10-12 08:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\izszmlgb
2008-10-12 08:59 . 2008-10-12 08:59 81,920 --a------ C:\WINDOWS\system32\uxabezqx.exe
2008-10-10 07:24 . 2008-10-11 07:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-10 07:24 . 2008-10-10 07:24 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-09 08:00 . 2008-10-09 17:15 <DIR> d-------- C:\Programme\DivX
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-08 21:35 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-08 21:32 . 2008-10-08 21:35 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-07 16:13 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-09-30 04:39 . 2008-09-30 04:39 <DIR> d-------- C:\Programme\IrfanView
2008-09-23 23:08 . 2008-09-23 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Media Player Classic
2008-09-23 20:40 . 2008-09-23 20:40 <DIR> d-------- C:\Programme\Last.fm
2008-09-23 20:40 . 2008-09-23 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2008-09-16 02:12 . 2008-09-16 02:12 3,051 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-09-16 02:11 . 2008-09-16 02:11 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-12 02:59 . 2005-07-15 12:49 245,760 --a------ C:\WINDOWS\system32\aUpdateNow.ocx
2008-09-12 02:59 . 2004-03-08 18:00 132,880 --a------ C:\WINDOWS\system32\msinet.ocx
2008-09-12 02:51 . 2008-10-12 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-12 02:22 . 2008-09-26 22:04 <DIR> d-------- C:\Programme\FriendBlasterPro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 08:01 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\OpenOffice.org2
2008-10-12 08:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-12 07:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-12 07:03 17,809 ----a-w C:\Programme\Gemeinsame Dateien\yjovyva._sy
2008-10-08 20:01 --------- d-----w C:\Programme\MSN Messenger
2008-09-29 17:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-29 17:03 --------- d-----w C:\Programme\Paltalk Messenger
2008-09-29 17:03 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-29 17:03 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Paltalk
2008-09-23 21:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-09-09 17:11 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Malwarebytes
2008-09-09 17:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 00:21 --------- d-----w C:\Programme\Winamp
2008-09-08 21:14 --------- d-----w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Winamp
2008-09-07 17:44 --------- d-----w C:\Programme\Softwin
2008-09-07 17:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Softwin
2008-09-07 16:15 --------- d-----w C:\Programme\Trend Micro
2008-09-07 12:06 --------- d-----w C:\Programme\Alwil Software
2006-12-21 17:39 0 ----a-w C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\wklnhst.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"EPSON Stylus C60 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE" [2001-10-04 69632]
"srvaplapp"="C:\WINDOWS\system32\uxabezqx.exe" [2008-10-12 81920]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-11 7626752]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-11 86016]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-17 98304]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-08-04 36352]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-31 262184]
"nwiz"="nwiz.exe" [2006-07-11 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\copyRiot\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-10-09 15187]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-10-09 15571]
S3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [ ]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 402432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{647896f5-f4a4-11db-aae6-00192151c09b}]
\Shell\AutoRun\command - J:\setupSNK.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Mozilla\Firefox\Profiles\rbrdq78s.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE -
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 10:01:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.bin
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 10:04:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-12 08:04:35

Vor Suchlauf: 906.768.384 Bytes frei
Nach Suchlauf: 943,931,392 Bytes frei

218 --- E O F --- 2008-10-10 11:34:08




HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:00, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\WINDOWS\system32\uxabezqx.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\WINDOWS\system32\uxabezqx.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - HKCU\..\Run: [srvaplapp] C:\WINDOWS\system32\uxabezqx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {304171C0-65EA-4B51-B5D9-93A311E26EB1} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DD5199-DD8A-41FD-A1A6-43B30672F868}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7259 bytes





Bitte um Hilfe, was nun zu tun ist.
Vielen Dank schonmal im vorraus

Martin

Könnte jemand hier bitte die Logfiles anschauen und sagen was ich jetzt tun sollte? Ist mein Rechner sauber?

Danke schon mal,

Martin

Na, richtig sauber ist der Rechner nicht....

Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif



6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hallo raman,

Vielen Dank schonmal für die schnelle Antwort!


Hier das Combofix Logfile:


ComboFix-quarantined-files (QooBox)

zu Punkt 7:

Musste bei http://www.bleepingcomputer.com eine Datei hochladen. Leider konnte ich den Namen der Datei nicht schnell genug notieren.


Weiß jetzt nicht genau, ob es sich nicht schon um das oben eingefügte ComboFix Logfile handelt. Nach einer Suche nach ComboFix Dateien wurden auch nur die zwei bereits in diesem Post eingefügten Files gefunden.

Die Datei die du hochladen solltest, war diese:
C:\Qoobox\Quarantine\[4]-Submit_2008-10-12@18.36.zip

Das kannst du immer noch. Lade die Datei hier hoch:
http://www.bleepingcomputer.com/subm....php?channel=4

Als "Link to topic where this file was requested: " nimmst du

http://www.trojaner-board.de/61897-x...-trojaner.html
und als Browse to the file you want to submit: nimmst du

C:\Qoobox\Quarantine\[4]-Submit_2008-10-12@18.36.zip

Ob du noch einen Komentar einfuegen moechtest, liegt bei dir...

Erstelle bitte noch ein Hijackthis Report

[Edit: Bitte den Report nicht in irgendwelche "Code" Boxen packen, da bekomm ich Augenkrebs von.... :( ]

Bleeping Computer:

Hab alles gemacht wie beschrieben.


HijackThis Report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:52, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [XP Antispyware 2009] "C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [EPSON Stylus C60 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /P23 "EPSON Stylus C60 Series" /O5 "LPT1:" /M "Stylus C60"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PalTalk.lnk = C:\Programme\Paltalk Messenger\paltalk.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {304171C0-65EA-4B51-B5D9-93A311E26EB1} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DD5199-DD8A-41FD-A1A6-43B30672F868}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7034 bytes




PS: Sorry fürs Logfiles in Code verschachteln. Dachte, das wäre evetuell übersichtlicher.

DAs mit den Codeboxen nervt(mich), da ich was sehen moechte und nicht Balken hin und hers schieben will... ;)

BTW: Welches Laufwerk ist bei dir J:\ ? Da gibts irgendwo eine Datei setupSNK.exe, die nicht so ganz sauber zu sein scheint...

Unter Arbeitsplatz seh ich nur

C:\
D:\
E:\
F:\
G:\
H:\
I:\

F: bis I: sind Wechseldatenträger

Auch bei Suche nach dieser "setupSNK.exe" Datei bin ich nicht fündig geworden. Sorry, dass ich mich so blöd anstell aber mit sowas musste ich mich bis jetzt noch nicht auseinandersetzen. :killpc:

DAnn wird das wohl ein USB Stick sein, den du mal angeschlossen hast. Ist in Ordnung, nur sei vorsichtig, bei Sticks von "Fremden"...

Danke für die Hilfe! Ist mein Rechner jetzt einigermaßen sauber?

Ohne die Hilfe von euch wäre ich vollens aufgeschmissen! Ich danke vielmals! Kann man sich irgendwie erkenntlich zeigen?


Gruß,
Martin

Sauber ist relativ. :)

nutze die mit Windows gelieferte Datenträgerbereinigung(alles anhaken außer alte Dateien komprimieren) und saeubere die Systemwiederherstellung über "weitere Optionen".
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Du kannst noch einige Kontrollscans mit Drweb Cureit machen und mit dem Onlinescan von f-secure:
http://support.f-secure.de/ger/home/ols.shtml

Hake bitte noch folgendes in Hijackthis an und druecke fix checked:

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [XP Antispyware 2009] "C:\Programme\XP_AntiSpyware\XP_AntiSpyware.ex e" /hide
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {304171C0-65EA-4B51-B5D9-93A311E26EB1} -

Danach starte neu und loesche folgenden Ordner, sofern er noch vorhanden ist:
C:\Programme\XP_AntiSpyware

Falls die Virenscanner noch etwas melden sollten, melde dich mit den entsprechenden Reporten zurueck