Viren/trojaner
 

Moin und hallo :daumenhoc

Ich habe ein Problem mit meinem Pc. Das Teil ist anscheinend voll mit Viren und Trojanern.
Formatiert habe ich, aber jetzt besteht das selbe Problem wieder. Das einzigst positive ist, dass der Pc schneller als vor dem formatieren läuft.
Anti-Vir zeigt alle paar Sekunden einen Fund an (meistens Trojaner).

Es öffnen sich regelmäßig irgendwelche Internetseiten :killpc: .

hier ist das HJT-Logfile :

Vieleicht kann mir ja hier jemand sagen, ob noch irgendetwas zu retten ist.
Danke im vorraus !

Das_Lusches:dankeschoen:

Hallo und :hallo:

Ja.

1.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):
Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Sollte sich eine Datei nicht finden lassen, dann überspringe sie und mache weiter mit der Liste.

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

6.) Mache ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Danke andreas...

http://www.virustotal.com/de/analisis/d65d2e072b382313969478a4f7dbbb38
http://www.virustotal.com/de/analisis/5bf4208c771a1c04b929e2454c18b429
http://www.virustotal.com/de/analisis/8928e396f3e167c5cdbc8f490da31cff
http://www.virustotal.com/de/analisis/5bf4208c771a1c04b929e2454c18b429

der Rest (ab Punkt 4) folgt bald...

weiter gehts :

Hier das mbam-log (dieses mal sogar mit Code-tags :singsing: ):

5 Dateien konnten im system32 Ordner nicht mit dem programm entfernt werden.

Hier ist der Rest:


File-Upload.net - listing.txt

Das Log von Blacklight fehlt.

1.) Starte HJT => Do a systems scan only => Markiere
=> Fix checked

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

3.) SuperAntiSpyware laden, starten und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

:confused::confused::confused:

Es fehlt noch immer das Log von Blacklight.

Wieso setzt du Spyware Doctor ein? Davon habe ich nichts geschrieben.

Wo ist das Log von SuperAntiSpyware? Du findest den Downloadlink in der Anleitung.

Wo ist das Log von ComboFix Scripten?

Zumindest das Log von HJT sieht deutlich freundlicher aus.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Deaktiviere die Systemwiederherstellung=>Neustart=>Aktiviere die Systemwiederherstellung und erstelle einen neuen Wiederherstellungspunkt

Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

Ja ich bin dran :kloppen:

... blacklight ging nicht
Der link zum " SuperAntiSpyware " hat zu dem " Spyware Doctor " geführt
un der PC läuft jetzt schon besser
Anti-vir meldet sich fast gar nicht mehr

... aber ich werde die schritte jetzt noch einmal durchgehn

danke schonmal ... es hat auf jeden fall was genützt!

:confused: Der Link führt zur Anleitung auf dem TB und dort das erste Bild/Link lädt SuperAntiSpyware und nicht Spyware Doctor. Dann lass es laufen und poste das Log.

ciao, andreas

Blacklight hat keine " hidden Items " gefunden.

Hier das Logfile von ComboFix:

ComboFix 09-01-10.03 - TopMänner 2009-01-11 14:14:57.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.627 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\TopMänner\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\Tasks\qcjxgzgc.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Twain
c:\windows\Tasks\qcjxgzgc.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-11 bis 2009-01-11 ))))))))))))))))))))))))))))))
.

2009-01-11 12:30 . 2009-01-11 12:30 <DIR> d-------- c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17 <DIR> d-------- c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24 <DIR> d-------- c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55 5,208 --a------ c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19 <DIR> d-------- c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12 <DIR> d-------- c:\programme\Electronic Arts
2008-12-22 16:56 . 2008-12-22 16:56 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26 <DIR> d-------- c:\windows\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-11 12:10 --------- d-----w c:\programme\Warcraft III
2008-12-29 13:28 --------- d-----w c:\programme\QIP
2008-12-23 11:18 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56 --------- d-----w c:\programme\ICQ6.5
2008-12-09 15:54 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 15:54 --------- d-----w c:\programme\ICQ6Toolbar
2008-12-09 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15 --------- d-----w c:\programme\iTunes
2008-12-07 14:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14 --------- d-----w c:\programme\QuickTime
2008-12-07 14:14 --------- d-----w c:\programme\iPod
2008-12-07 14:14 --------- d-----w c:\programme\Bonjour
2008-12-07 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13 --------- d-----w c:\programme\Apple Software Update
2008-12-07 14:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23 --------- d-----w c:\programme\MSXML 4.0
2008-12-03 15:59 --------- d-----w c:\programme\www.ingame.de_lwt
2008-12-02 20:41 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11 --------- d-----w c:\programme\CyberLink
2008-12-02 20:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45 2,829 ----a-w c:\windows\War3Unin.pif
2008-12-02 19:45 139,264 ----a-w c:\windows\War3Unin.exe
2008-12-02 17:58 --------- d-----w c:\programme\Realtek
2008-12-02 17:56 --------- d-----w c:\programme\Intel
2008-12-02 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52 --------- d-----w c:\programme\ATI Technologies
2008-12-02 17:25 --------- d-----w c:\programme\Avira
2008-12-02 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20 --------- d-----w c:\programme\microsoft frontpage
2008-12-02 17:17 --------- d-----w c:\programme\Java
2008-12-02 17:17 --------- d-----w c:\programme\Common Files
2008-12-02 17:15 --------- d-----w c:\programme\Online-Dienste
2008-12-02 17:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-11 14:16:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-11 14:18:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-11 13:18:25
ComboFix2.txt 2009-01-11 11:38:38

Vor Suchlauf: 11 Verzeichnis(se), 97.578.401.792 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,574,203,392 Bytes frei

162 --- E O F --- 2009-01-03 02:31:37

Du hast das falsche Script laufen gelassen. Das wäre das richtige gewesen. Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

Die Auffälligkeiten sind deutlich weniger geworden danke

ComboFix:

ComboFix 09-01-10.03 - TopMänner 2009-01-14 20:29:42.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.648 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TopMänner\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\TopMänner\Desktop\cfscript.text
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
c:\windows\system32\biniyogi.dll.tmp
c:\windows\system32\datosuje.dll.tmp
c:\windows\system32\jogevoma.dll.tmp
c:\windows\Tasks\qcjxgzgc.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Trend Micro\HijackThis\backups\backup-20090109-170719-910.dll
c:\windows\system32\biniyogi.dll.tmp
c:\windows\system32\datosuje.dll.tmp
c:\windows\system32\jogevoma.dll.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-11 16:37 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-01-11 16:36 . 2009-01-11 16:36 <DIR> d-------- c:\programme\Panda Security
2009-01-11 15:52 . 2009-01-12 20:51 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-11 12:30 . 2009-01-11 12:30 <DIR> d-------- c:\programme\CCleaner
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-10 14:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 14:12 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 14:12 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-09 16:17 . 2009-01-09 16:17 <DIR> d-------- c:\programme\Trend Micro
2009-01-02 14:24 . 2009-01-02 14:24 <DIR> d-------- c:\programme\MSECache
2009-01-01 20:00 . 2009-01-01 20:00 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\LogFiles
2009-01-01 19:58 . 2009-01-01 19:58 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-01-01 19:38 . 2009-01-01 19:38 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-31 13:55 . 2008-12-31 13:55 5,208 --a------ c:\windows\system32\pid.PNF
2008-12-28 00:19 . 2008-12-28 00:19 <DIR> d-------- c:\programme\EA GAMES
2008-12-27 11:30 . 2008-12-27 11:36 <DIR> d-------- c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-12-27 00:12 . 2008-12-27 00:12 <DIR> d-------- c:\programme\Electronic Arts
2008-12-22 16:56 . 2008-12-22 16:56 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-22 16:56 . 2008-12-22 16:56 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.VER
2008-12-22 16:56 . 2008-12-22 16:56 73,728 --a------ c:\windows\ALCFDRTM.EXE
2008-12-16 22:26 . 2008-12-16 22:26 <DIR> d-------- c:\windows\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 18:59 --------- d-----w c:\programme\Warcraft III
2008-12-29 13:28 --------- d-----w c:\programme\QIP
2008-12-23 11:18 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ICQ
2008-12-13 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Apple Computer
2008-12-09 15:56 --------- d-----w c:\programme\ICQ6.5
2008-12-09 15:54 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-09 15:54 --------- d-----w c:\programme\ICQ6Toolbar
2008-12-09 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-12-07 14:15 --------- d-----w c:\programme\iTunes
2008-12-07 14:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 14:14 --------- d-----w c:\programme\QuickTime
2008-12-07 14:14 --------- d-----w c:\programme\iPod
2008-12-07 14:14 --------- d-----w c:\programme\Bonjour
2008-12-07 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-07 14:13 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-07 14:13 --------- d-----w c:\programme\Apple Software Update
2008-12-07 14:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-03 22:23 --------- d-----w c:\programme\MSXML 4.0
2008-12-03 15:59 --------- d-----w c:\programme\www.ingame.de_lwt
2008-12-02 20:41 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\CyberLink
2008-12-02 20:11 --------- d-----w c:\programme\CyberLink
2008-12-02 20:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-02 19:45 2,829 ----a-w c:\windows\War3Unin.pif
2008-12-02 19:45 139,264 ----a-w c:\windows\War3Unin.exe
2008-12-02 17:58 --------- d-----w c:\programme\Realtek
2008-12-02 17:56 --------- d-----w c:\programme\Intel
2008-12-02 17:54 --------- d-----w c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\ATI
2008-12-02 17:52 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-02 17:52 --------- d-----w c:\programme\ATI Technologies
2008-12-02 17:25 --------- d-----w c:\programme\Avira
2008-12-02 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-02 17:20 --------- d-----w c:\programme\microsoft frontpage
2008-12-02 17:17 --------- d-----w c:\programme\Java
2008-12-02 17:17 --------- d-----w c:\programme\Common Files
2008-12-02 17:15 --------- d-----w c:\programme\Online-Dienste
2008-12-02 17:14 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2009-01-11_12.38.05.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-20 17:46:10 147,968 -c----w c:\windows\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:46:10 247,296 -c----w c:\windows\system32\dllcache\mswsock.dll
+ 2008-06-20 11:51:12 361,600 -c----w c:\windows\system32\dllcache\tcpip.sys
+ 2008-06-20 11:08:27 225,856 -c----w c:\windows\system32\dllcache\tcpip6.sys
- 2008-04-14 06:52:10 147,968 ----a-w c:\windows\system32\dnsapi.dll
+ 2008-06-20 17:46:10 147,968 ----a-w c:\windows\system32\dnsapi.dll
- 2008-04-13 23:50:18 361,344 ----a-w c:\windows\system32\drivers\tcpip.sys
+ 2008-06-20 11:51:12 361,600 ----a-w c:\windows\system32\drivers\tcpip.sys
- 2008-04-13 23:30:04 225,664 ----a-w c:\windows\system32\drivers\tcpip6.sys
+ 2008-06-20 11:08:27 225,856 ----a-w c:\windows\system32\drivers\tcpip6.sys
- 2008-04-14 06:52:20 247,296 ----a-w c:\windows\system32\mswsock.dll
+ 2008-06-20 17:46:10 247,296 ----a-w c:\windows\system32\mswsock.dll
- 2008-12-03 22:24:46 63,580 ----a-w c:\windows\system32\perfc007.dat
+ 2009-01-11 14:53:45 63,580 ----a-w c:\windows\system32\perfc007.dat
- 2008-12-03 22:24:46 52,764 ----a-w c:\windows\system32\perfc009.dat
+ 2009-01-11 14:53:45 52,764 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-03 22:24:46 391,000 ----a-w c:\windows\system32\perfh007.dat
+ 2009-01-11 14:53:45 391,000 ----a-w c:\windows\system32\perfh007.dat
- 2008-12-03 22:24:46 380,350 ----a-w c:\windows\system32\perfh009.dat
+ 2009-01-11 14:53:45 380,350 ----a-w c:\windows\system32\perfh009.dat
- 2007-07-27 08:41:40 16,760 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 12:39:14 18,808 ------w c:\windows\system32\spmsg.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-11-30 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-23 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-09-24 c:\windows\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avguard.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iTunes\\iTunesHelper.exe"=
"c:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\ALCWZRD.EXE"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2008-12-02 22336]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-11 28544]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2008-12-02 45376]
.
Inhalt des "geplante Tasks" Ordners

2009-01-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\TopMänner\Anwendungsdaten\Mozilla\Firefox\Profiles\0kzk46pf.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 20:31:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-14 20:33:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-14 19:33:10
ComboFix2.txt 2009-01-11 13:18:29
ComboFix3.txt 2009-01-11 11:38:38

Vor Suchlauf: 11 Verzeichnis(se), 97.368.686.592 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 97,370,251,264 Bytes frei

208 --- E O F --- 2009-01-13 12:51:32

So und jetzt noch das Log von SuperAntiSpyware, dann kann ich dich entlassen.
Freut mich. :)

ciao, andreas

Ja es läuft echt schon besser ... danke =)

HIer noch das Nachzureichende:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/15/2009 at 11:16 PM

Application Version : 4.24.1004

Core Rules Database Version : 3711
Trace Rules Database Version: 1685

Scan type : Complete Scan
Total Scan Time : 00:35:57

Memory items scanned : 488
Memory threats detected : 0
Registry items scanned : 3646
Registry threats detected : 8
File items scanned : 45577
File threats detected : 8

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@apmebf[1].txt
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@atwola[1].txt
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@fastclick[2].txt
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@tradedoubler[2].txt
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@ad.zanox[1].txt
C:\Dokumente und Einstellungen\TopMänner\Cookies\topmänner@adserver.71i[1].txt

Rogue.Component/Trace
HKLM\Software\Microsoft\18454ECC
HKLM\Software\Microsoft\18454ECC#18454ecc
HKLM\Software\Microsoft\18454ECC#Version
HKLM\Software\Microsoft\18454ECC#1845e34c
HKLM\Software\Microsoft\18454ECC#18458aa9
HKU\S-1-5-21-329068152-1708537768-1417001333-1005\Software\Microsoft\CS41275
HKU\S-1-5-21-329068152-1708537768-1417001333-1005\Software\Microsoft\FIAS4018

Trojan.Fake-Alert/Trace
HKU\S-1-5-21-329068152-1708537768-1417001333-1005\SOFTWARE\Microsoft\fias4013

Falls du keine Probleme mehr feststellst, sage ich mal, wir sind fertig.

1.) Start => Ausführen => combofix /u (aufs Leerzeichen achten) => OK
2.) Aktuelle Javaversion gibts hier: Download der Java-Software von Sun Microsystems
3.) Alle Programme, die wir eingesetzt haben, können deinstalliert/gelöscht werden. Solltest du SuperAntiSpyware behalten wollen, so deaktiviere den Wächter.

ciao, andreas

Hoffe auch wir sind jetzt fertig ... hätte echt nicht gedacht dass es so gut funktioniert ... hoffe nun auch es bleibt eine zeit lang so ... =)

... danke für alles ... ich weiß schon an wen ich mich beim nächsten Problem werden werde ... =)

:aplaus::aplaus:

Das kann ich dir nur raten. *Peitsche suche*
Kein Problem, ich hoffe du kannst mich bezahlen. :)

ciao, andreas