Trojaner-Board - InternetGameBox Trojaner?!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - InternetGameBox Trojaner?! (https://www.trojaner-board.de/67459-internetgamebox-trojaner.html)

Hallo Crusader!

Könnte(s)t (du) ihr mir vorher noch mal sagen, ob bei dem Windows SP3 Schwierigkeiten auftreten? Habe nämlich gelesen, dass bei manchen Benutzern häufig Fehler Meldungen auftreten.
Zu dem "Blacklight" (2. Schritt):
Der Link funktioniert bei mir nicht! Ich komme zu keiner Internetseite, da kommt nur eine Fehlermeldung.
Nun noch zu dem "CCleaner": Ich versteh nicht so ganz wie du das meinst mit "navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern...."

Trozdem Danke für (eure)deine schnelle Hilfe!
LG BamBoocha

Hallo BamBoocha,

Nein es sollten keine Schwierigkeiten auftreten, im Gegenteil, das Service Pck sollte die Systemleistung und Sicherheit verbessern!

Sorry, hier der aktuelle Link: Blacklight

Also CCleaner installieren, und dann siehst du ja, wenn du ihn öffnest, auf der linken Seite:

Cleaner
Registry
Extras
Einstellungen

Du wählst Extras, dann bei dem Register "Programme deinstallieren" auf "Als Textdatei speichern......"
Das Ergebnis hier posten!

LG Crusader

Ach ja hab noch ´ne Frage: Wie kann man zitieren? :P

Es gibt hier sowas wie 'ne Hilfe Funktion.. :rolleyes:

http://www.trojaner-board.de/faq.php...b3_board_usage

Ah.. ok danke ;)
Habe SP3 nun installiert hier is der log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:32, on 31.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5187 bytes

Die anderen Schritte verfolge ich nächstes Jahr :D
Guten Rutsch euch Beiden
LG BamBoocha

Hallo BamBoocha,

Wie läuft es mit deinem PC??

Bitte mach noch das mit CCleaner!

LG Crusader

Hi Crusader!
Sorry das es solang gedauert hat, hab aber noch ordentlich gefeiert ;)
Also.. Hier ist das Blacklight log:

01/02/09 14:07:15 [Info]: BlackLight Engine 2.2.1092 initialized
01/02/09 14:07:15 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/02/09 14:07:15 [Note]: 7019 4
01/02/09 14:07:15 [Note]: 7005 0
01/02/09 14:07:21 [Note]: 7006 0
01/02/09 14:07:21 [Note]: 7011 340
01/02/09 14:07:22 [Note]: 7035 0
01/02/09 14:07:22 [Note]: 7026 0
01/02/09 14:07:22 [Note]: 7026 0
01/02/09 14:07:22 [Note]: 7024 3
01/02/09 14:07:22 [Info]: Hidden process: C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuv
01/02/09 14:07:23 [Note]: FSRAW library version 1.7.1024
01/02/09 14:07:24 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.
01/02/09 14:07:24 [Note]: 10002 1
01/02/09 14:07:25 [Info]: Hidden file: C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.
01/02/09 14:07:25 [Note]: 10002 1
01/02/09 14:07:25 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_
01/02/09 14:07:25 [Note]: 10002 1
01/02/09 14:07:25 [Info]: Hidden file: c:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_
01/02/09 14:07:25 [Note]: 10002 1
01/02/09 14:11:40 [Note]: 2000 1012
01/02/09 14:14:25 [Note]: 7007 0

Zum AntiSpyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/02/2009 at 03:54 PM

Application Version : 4.24.1004

Core Rules Database Version : 3693
Trace Rules Database Version: 1669

Scan type : Complete Scan
Total Scan Time : 01:32:29

Memory items scanned : 409
Memory threats detected : 0
Registry items scanned : 4097
Registry threats detected : 0
File items scanned : 116107
File threats detected : 57

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@ad.71i[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@delivery.ads.coupling-media[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@atwola[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@zanox[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@adserver.71i[1].txt
C:\Dokumente und Einstellungen\marcolino0\Cookies\marcolino0@indextools[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.71i[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ads.habbogroup[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adserver.myvideo[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adtech[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@advertising[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@atdmt[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@atwola[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@casalemedia[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@fastclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@flixbanner.bearshare[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@hotbar[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@k2network.112.2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@komtrack[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@media.licenseacquisition[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mediaplex[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mywebsearch[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@pacificpoker[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@partygaming.122.2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@pro-market[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@richmedia.yahoo[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@serving-sys[2].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@www.etracker[1].txt
C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@2o7[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@ads.beamfile[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@as1.falkag[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@atwola[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@fastclick[1].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@flixbanner.bearshare[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@media.fastclick[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@mywebsearch[2].txt
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Cookies\meyer@www.zanox-affiliate[1].txt

Trojan.Downloader-KRDPDRE
C:\DOKUMENTE UND EINSTELLUNGEN\MEYER\LOKALE EINSTELLUNGEN\TEMP\KRDPDRE.SYS

Adware.webHancer
C:\DOKUMENTE UND EINSTELLUNGEN\MEYER\LOKALE EINSTELLUNGEN\TEMP\WH_CC.EXE

Und zu guter Letzt das CCleaner log.

Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 9 - Deutsch
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Dofus 1.25.0
HijackThis 2.0.2
HT Fireman CD/DVD Burner
ICQ Toolbar
ICQ6
Java(TM) 6 Update 10
Logitech Desktop Messenger
Logitech SetPoint
LucasArts' Monkey4
Malwarebytes' Anti-Malware
Microsoft Office XP Professional
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB954430)
Opera 9.63
PowerQuest PartitionMagic 8.0 Demo
Revo Uninstaller 1.75
Sinus 154 stick
Spybot - Search & Destroy
SUPERAntiSpyware Professional
Windows Internet Explorer 7
Windows XP Service Pack 3
XP-Clean

LG BamBoocha

Hallo BamBoocha,

1.) Noch ein frisches HijackThis Log posten!

2.) Mach bitte einen ESET Online Scan. Hierzu setzt du den Hacken bei "YES, I accept the Terms of Use" und klickst dann auf "Start"! Ergebnis hier posten!

3.) Mach bitte einen Panda ActiveScan. Hierzu klickst du auf "Jetzt Scannen". Du lädst dir das Plug-In herunter und installierst es, danch den Scan starten und Ergebnis hier posten!

Hier ist schon mal das HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:00, on 02.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5905 bytes

Die anderen kommen gleich/später

LG BamBoocha

... Soll ich eigentlich alle Funde, die infiziert sind, löschen? (Ich weiß dumme Frage :P)

Huhu. Kurzer Einschub:

GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Dopperlklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Wenn da nichts Auffälliges drin ist kann Crusader gerne weitermachen.. ;)

Hi undoreal!
Hab bin deinen Anweisungen gefolgt:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-06 15:43:08
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT B06B11E4 ZwCreateThread
SSDT B06B11D0 ZwOpenProcess
SSDT B06B11D5 ZwOpenThread
SSDT \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB0684F20]
SSDT B06B11DA ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B

---- User code sections - GMER 1.0.14 ----

.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 00FE200E
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 00FE1DAF
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 00FE1CF2
.text D:\Programme\Logitech\SetPoint\SetPoint.exe[108] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 00FE191B
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\ctfmon.exe[256] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe[328] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 05E8200E
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 05E81DAF
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 05E81CF2
.text D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe[336] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 05E8191B
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\DOKUME~1\MARCOL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für gmer.zip\gmer.exe[340] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0139200E
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01391DAF
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01391CF2
.text D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe[460] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0139191B
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0128200E
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01281DAF
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01281CF2
.text C:\Programme\DT\Sinus 154 stick\Wifiusb.exe[576] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0128191B
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\services.exe[708] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\svchost.exe[868] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[964] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\Explorer.EXE[1056] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\wbem\wmiprvse.exe[1124] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0260200E
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 02601DAF
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 02601CF2
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1248] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0260191B
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\system32\spoolsv.exe[1388] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\Java\jre6\bin\jusched.exe[1444] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1608] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\Programme\Java\jre6\bin\jqs.exe[1680] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 0100200E
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01001DAF
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01001CF2
.text C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE[1916] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 0100191B
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 01F6200E
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 01F61DAF
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 01F61CF2
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 01F6191B
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01F63642
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!send 71A14C27 5 Bytes JMP 01F63161
.text C:\Programme\Mozilla Firefox\firefox.exe[3744] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01F63352
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateKey 7C91D2B0 5 Bytes JMP 1000200E
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtEnumerateValueKey 7C91D2D0 5 Bytes JMP 10001DAF
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQueryDirectoryFile 7C91D750 5 Bytes JMP 10001CF2
.text C:\WINDOWS\System32\svchost.exe[4076] ntdll.dll!NtQuerySystemInformation 7C91D910 5 Bytes JMP 1000191B

---- Processes - GMER 1.0.14 ----

ok.. da der Report zu lang war kommt gleich der zweite Teil

So nun der 2. Teil:

Process C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) 328
Library C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe (*** hidden *** ) @ C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe [328] 0x00400000

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@SlowInfoCache 0x28 0x02 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce@Changed 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@DisplayName Favorit
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@UninstallString "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" -uninstall
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRemove 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoModify 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnuvce@NoRepair 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@nnuvce "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" nnuvce

---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.dat 3604 bytes
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce.exe 233472 bytes executable
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_nav.dat 253052 bytes
File C:\Dokumente und Einstellungen\marcolino0\Lokale Einstellungen\Anwendungsdaten\nnuvce_navps.dat 1173 bytes
File C:\WINDOWS\Prefetch\NNUVCE.EXE-0CE9C8A4.pf 33952 bytes

---- EOF - GMER 1.0.14 ----

Wurd was gefunden! Hoffentlich ncihts Schlimmes?!

LG BamBoocha

Also zu Crusader:
Hab ESET Online Scan durchlaufen lassen.. Da stand hat keine "Threats" gefunden, habe aber leider keine Button gefunden der zum Report führt. (Habe diesen Scan vor ein paar Tagen abbrechen müssen [knapp vor der hälfte] und bei dem Scan hatte er einen "Threat" gefunden. Konnte diesen ja nicht löschen .. wurde aber trozdem beim 2. Scan nicht mehr gefunden ??!!)

Nun zum Panda ActiveScan .. Hier ist der log. :

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-01-02 20:14:11
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00114578 Joke/Schock Jokes No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Eigene Dateien\ICQ Lite\209402368\KaKa 04_420239414\ich.exe
00123075 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whAgent.inf]
00124483 Adware/STIEBar Adware No 0 No No C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\0catyellowpages.exe[STIEbar.dll]
00145758 Cookie/Mysearch TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@mysearch[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Meyer\Cookies\meyer@adverserve[1].txt
00208815 Adware/WebHancer Adware No 0 No No C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe[C:\System Volume Information\_restore{33D4CEB7-FB53-4366-8D5B-0B5475A13F06}\RP80\A0017077.exe][whieshm.dll]
00497354 Application/MyWebSearch HackTools No 0 Yes No C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location vU
;===================================================================================================================================================== ==============================
No C:\Programme\AWS\WxBugSetup60b6.04.0.9m.EXE vU
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description vU
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

LG BamBoocha

Volltreffer.

Sag mal, hast du Blacklight die Funde nicht beheben lassen?

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Setzte den Haken bei "Automatically disable any Rootkits found.
Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

C:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe

C:\Programme\ICQ6Toolbar\ICQ Service.exe
 

Folders to delete:

C:\Programme\ICQ6Toolbar

C:\Programme\AskSBar

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;)

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\nnuvce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\nnuvce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @nnuvce "c:\dokumente und einstellungen\marcolino0\lokale einstellungen\anwendungsdaten\nnuvce.exe" nnuvce

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !

Dann startest du den Rechner im normalen Modus neu.