Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HiJackThis-Log-File (https://www.trojaner-board.de/75751-hijackthis-log-file.html)

hellside 25.07.2009 15:00
HiJackThis-Log-File
 
Ich wollte Malwarebytes Anti-Malware installieren, hat auch alles geklappt jedoch konnte ich es nicht starten, daraufhin bin ich auf das Forum hier gestoßen und habe mir einige Probleme anderer Leute angesehen und mir ist aufgefallen dass folgende Punkte auch bei mir zutreffen:

- Weder SpyBot noch Malwarebytes Anti-Malware 1.3.8 lassen sich starten.
- Google-Links werden umgeleitet - vorzugsweise nach eBay

deswegen habe ich mir die HiJackThis.exe besorgt, sie umbenannt und folgende Logfile erhalten:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:31, on 25.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Zykon\F1Driver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Java\jre6\bin\javaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Andy\Desktop\nd94nkc4.exe
C:\Dokumente und Einstellungen\Andy\Desktop\test.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [La_View Mouse] D:\Zykon\F1Driver.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download All by Gigaget - D:\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - D:\Giganology\Gigaget\geturl.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1243258447218
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11AF52C8-5905-44D7-B1E4-C2EAD0947C55}: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{11AF52C8-5905-44D7-B1E4-C2EAD0947C55}: NameServer = 85.255.112.120,85.255.112.83
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.120,85.255.112.83
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6027 bytes
kenne mich leider nicht sehr gut aus und würde mich über jede antwort freuen!
PS: Lasse jetzt auch noch GMER durchlaufen!

john.doe 25.07.2009 15:17
Hallo und :hallo:

Das sieht übel aus, du hast u.a. eine Umleitung in die Ukraine drin. Alle deine Internetanfragen können beliebig umgeleitet und abgefangen werden. Kein Onlinebanking, ebay, Paypal o.ä., nach Abschluss alle Kennwörter von einem sauberen Rechner ändern. Du sparst dir eine Menge Zeit wenn du die schnelle und sichere Alternative wählst => http://www.trojaner-board.de/51262-a...sicherung.html

Ansonsten beginne mit Combofix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas

hellside 25.07.2009 15:45
Code:
ComboFix 09-07-24.01 - Andy 25.07.2009 16:39.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1692 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Andy\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\f50e7.msi
c:\windows\Installer\f50e8.msp
c:\windows\Installer\f50e9.msp
c:\windows\Installer\f50ea.msp
c:\windows\Installer\f50eb.msp
c:\windows\Installer\f50ec.msp
c:\windows\Installer\f50ed.msp
c:\windows\Installer\f50ee.msp
c:\windows\system32\drivers\gxvxcxvkowftymoqlxsbvltlidwepxmxoaxrd.sys
c:\windows\system32\gxvxccount
c:\windows\system32\gxvxclvrieewswuxvomqheucxqmftintkfpra.dll
c:\windows\system32\gxvxcwbvknspmbpxnrdlrsbuwwviyqpaufivf.dll

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys


(((((((((((((((((((((((  Dateien erstellt von 2009-06-25 bis 2009-07-25  ))))))))))))))))))))))))))))))
.

2009-07-25 14:19 . 2007-11-08 20:10        30259        ----a-w-        c:\windows\system32\hjtscanlist.bat
2009-07-25 14:17 . 2009-07-25 14:17        --------        d-----w-        C:\rsit
2009-07-25 14:17 . 2009-07-25 14:17        --------        d-----w-        c:\programme\trend micro
2009-07-25 13:35 . 2009-07-13 11:36        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-25 13:35 . 2009-07-25 13:51        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-07-25 13:35 . 2009-07-13 11:36        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-07-25 13:29 . 2009-07-25 13:29        --------        d-----w-        c:\programme\Veoh Networks
2009-07-25 12:22 . 2009-07-25 12:22        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-24 16:08 . 2009-07-24 16:09        604488        ----a-w-        c:\windows\system32\TUProgSt.exe
2009-07-24 16:08 . 2009-07-15 09:48        29000        ----a-w-        c:\windows\system32\uxtuneup.dll
2009-07-24 16:08 . 2009-07-24 16:09        361288        ----a-w-        c:\windows\system32\TuneUpDefragService.exe
2009-07-24 16:08 . 2009-07-24 16:08        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\TuneUp Software
2009-07-24 16:07 . 2009-07-24 16:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-24 16:07 . 2009-07-24 16:07        --------        d-sh--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-21 19:21 . 2009-07-21 19:21        56        ---ha-w-        c:\windows\system32\ezsidmv.dat
2009-07-21 19:21 . 2009-07-21 19:21        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\skypePM
2009-07-21 19:19 . 2009-07-21 20:59        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\Skype
2009-07-21 19:18 . 2009-07-21 19:18        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2009-07-21 19:18 . 2009-07-21 19:18        --------        d-----r-        c:\programme\Skype
2009-07-21 19:18 . 2009-07-21 19:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-07-11 16:56 . 2009-07-11 16:56        --------        d--h--w-        c:\windows\PIF
2009-07-09 21:01 . 2006-08-01 13:02        49152        ----a-w-        c:\windows\system32\ChCfg.exe
2009-07-09 21:01 . 2008-09-24 08:40        4122368        ----a-r-        c:\windows\system32\drivers\alcxwdm.sys
2009-07-09 21:00 . 2009-07-09 21:00        --------        d-----w-        c:\programme\Realtek AC97
2009-07-09 21:00 . 2006-12-08 13:20        10528768        ----a-w-        c:\windows\system32\RTLCPL.exe
2009-07-09 21:00 . 2007-04-16 13:28        577536        ----a-w-        c:\windows\soundman.exe
2009-07-09 21:00 . 2006-10-18 00:53        147456        ----a-w-        c:\windows\system32\RtlCPAPI.dll
2009-07-09 21:00 . 2006-07-31 09:27        217088        ----a-w-        c:\windows\Alcrmv.exe
2009-07-09 21:00 . 2006-07-31 09:19        315392        ----a-w-        c:\windows\alcupd.exe
2009-07-09 20:51 . 2005-04-12 10:54        331184        ------w-        c:\windows\system32\difxapi.dll
2009-07-09 20:49 . 2009-07-09 20:49        --------        d-----w-        c:\programme\Lavalys
2009-07-09 20:47 . 2009-07-09 20:47        --------        d-----w-        c:\programme\CCleaner
2009-07-08 17:42 . 2009-07-08 17:42        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\DivX
2009-07-02 18:55 . 2009-07-02 18:55        41808        ----a-w-        c:\windows\system32\xfcodec.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-25 13:28 . 2009-06-18 20:49        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared
2009-07-24 11:26 . 2009-05-25 13:53        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\teamspeak2
2009-07-22 18:23 . 2009-05-25 16:56        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\Xfire
2009-07-14 12:51 . 2009-05-25 17:00        189800        ----a-w-        c:\windows\system32\PnkBstrB.exe
2009-07-14 12:12 . 2009-05-25 17:00        138608        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2009-07-09 21:00 . 2009-05-25 13:55        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-07-08 18:01 . 2009-06-18 18:38        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-06-27 13:56 . 2009-06-16 18:18        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\vlc
2009-06-24 20:53 . 2009-06-06 18:55        --------        d-----w-        c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-06-22 19:51 . 2009-06-22 19:51        410984        ----a-w-        c:\windows\system32\deploytk.dll
2009-06-22 19:51 . 2009-06-22 19:51        152576        ----a-w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-06-22 17:41 . 2009-06-21 19:26        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\Hamachi
2009-06-21 19:26 . 2009-06-21 19:26        25280        ----a-w-        c:\windows\system32\drivers\hamachi.sys
2009-06-21 15:30 . 2009-06-21 15:30        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\TeamViewer
2009-06-21 13:56 . 2009-05-25 14:07        13488        ----a-w-        c:\dokumente und einstellungen\Andy\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-21 13:45 . 2009-06-21 13:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-06-20 08:30 . 2009-06-20 08:26        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\DAEMON Tools Lite
2009-06-20 08:28 . 2009-06-20 08:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-06-20 08:28 . 2009-06-20 08:28        --------        d-----w-        c:\programme\DAEMON Tools Toolbar
2009-06-20 08:26 . 2009-06-20 08:26        721904        ----a-w-        c:\windows\system32\drivers\sptd.sys
2009-06-20 08:24 . 2009-06-18 20:49        --------        d-----w-        c:\programme\Google
2009-06-18 19:24 . 2009-06-18 19:24        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\dvdcss
2009-06-17 18:59 . 2009-06-01 23:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2009-06-17 16:06 . 2009-06-17 16:06        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\QIP
2009-06-15 16:11 . 2009-06-15 15:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-06-15 14:45 . 2009-05-24 22:53        94208        ----a-w-        c:\windows\DUMP440d.tmp
2009-06-08 10:36 . 2009-06-08 10:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-06-01 23:49 . 2009-06-01 23:49        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-06-01 23:45 . 2009-06-01 23:45        --------        d-----w-        c:\programme\Bonjour
2009-06-01 23:38 . 2009-06-01 23:38        --------        d-----w-        c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-05-28 12:20 . 2009-05-25 17:00        75064        ----a-w-        c:\windows\system32\PnkBstrA.exe
2009-05-28 11:44 . 2009-05-25 13:54        --------        d-----w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\ICQ
2009-05-26 16:49 . 2009-05-26 16:49        96        ---ha-w-        c:\windows\system32\HsInfo.dat
2009-05-25 17:00 . 2009-05-25 17:00        22328        ----a-w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\PnkBstrK.sys
2009-05-25 17:00 . 2009-05-25 17:00        22328        ----a-w-        c:\dokumente und einstellungen\Andy\Anwendungsdaten\PnkBstrK.sys
2009-05-25 16:55 . 2009-05-25 16:55        348160        ----a-w-        c:\windows\system32\msvcr71.dll
2009-05-25 16:55 . 2009-05-25 16:55        499712        ----a-w-        c:\windows\system32\msvcp71.dll
2009-05-25 16:42 . 2009-05-25 16:42        0        ----a-w-        c:\windows\nsreg.dat
2009-05-25 16:26 . 2009-05-25 16:26        0        ----a-w-        c:\windows\ativpsrm.bin
2009-05-25 16:18 . 2003-04-02 12:00        80104        ----a-w-        c:\windows\system32\perfc007.dat
2009-05-25 16:18 . 2003-04-02 12:00        448470        ----a-w-        c:\windows\system32\perfh007.dat
2009-05-25 14:39 . 2009-05-25 14:39        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2009-05-25 14:04 . 2009-05-24 21:17        76487        ----a-w-        c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-05-24 21:15 . 2009-05-24 21:15        21740        ----a-w-        c:\windows\system32\emptyregdb.dat
2009-05-13 21:54 . 2009-05-13 21:54        90112        ----a-w-        c:\windows\system32\dpl100.dll
2009-05-13 21:54 . 2009-05-13 21:54        823296        ----a-w-        c:\windows\system32\divx_xx0c.dll
2009-05-13 21:54 . 2009-05-13 21:54        823296        ----a-w-        c:\windows\system32\divx_xx07.dll
2009-05-13 21:54 . 2009-05-13 21:54        815104        ----a-w-        c:\windows\system32\divx_xx0a.dll
2009-05-13 21:54 . 2009-05-13 21:54        811008        ----a-w-        c:\windows\system32\divx_xx16.dll
2009-05-13 21:54 . 2009-05-13 21:54        802816        ----a-w-        c:\windows\system32\divx_xx11.dll
2009-05-13 21:54 . 2009-05-13 21:54        685056        ----a-w-        c:\windows\system32\DivX.dll
2009-05-05 07:59 . 2009-05-25 14:46        22168        ----a-w-        c:\windows\system32\drivers\xfilt.sys
2009-05-05 07:58 . 2009-05-25 14:46        13976        ----a-w-        c:\windows\system32\drivers\videX32.sys
2009-05-01 21:03 . 2009-06-18 20:49        9464        ------w-        c:\windows\system32\drivers\cdralw2k.sys
2009-05-01 21:03 . 2009-06-18 20:49        9336        ------w-        c:\windows\system32\drivers\cdr4_xp.sys
2009-05-01 21:03 . 2009-06-18 20:49        43528        ------w-        c:\windows\system32\drivers\PxHelp20.sys
2009-05-01 21:03 . 2009-06-18 20:49        129784        ------w-        c:\windows\system32\pxafs.dll
2009-05-01 21:03 . 2009-06-18 20:49        120056        ------w-        c:\windows\system32\pxcpyi64.exe
2009-05-01 21:03 . 2009-06-18 20:49        118520        ------w-        c:\windows\system32\pxinsi64.exe
2009-07-25 07:31 . 2009-05-25 16:41        134648        ----a-w-        c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-05-13 21:55 . 2009-05-13 21:55        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"La_View Mouse"="d:\zykon\F1Driver.exe" [2006-04-10 1581056]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-25 61440]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-05-25 198160]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVP"=2 (0x2)
"npggsvc"=3 (0x3)
"TapiSrv"=3 (0x3)
"Spooler"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Xfire\\Xfire.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Giganology\\Gigaget\\Gigaget.exe"=
"d:\\alaplaya\\S4League\\S4Client.exe"=
"d:\\Steam\\steamapps\\source0656\\counter-strike source\\hl2.exe"=
"d:\\ICQ\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\Andy\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"d:\\Steam\\steamapps\\source0656\\source dedicated server\\srcds.exe"=
"d:\\Steam\\Steam.exe"=
"d:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"d:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [25.05.2009 15:36 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [25.05.2009 15:36 45416]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.05.2009 15:36 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [24.07.2009 18:08 604488]
S4 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: &Download All by Gigaget - d:\giganology\Gigaget\getallurl.htm
IE: &Download by Gigaget - d:\giganology\Gigaget\geturl.htm
FF - ProfilePath - c:\dokumente und einstellungen\Andy\Anwendungsdaten\Mozilla\Firefox\Profiles\04w3hocg.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: d:\realplayer\Netscape6\nppl3260.dll
FF - plugin: d:\realplayer\Netscape6\nprjplug.dll
FF - plugin: d:\realplayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-25 16:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1164)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-07-25 16:42
ComboFix-quarantined-files.txt  2009-07-25 14:42

Vor Suchlauf: 13 Verzeichnis(se), 101.259.218.944 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 101.267.845.120 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

228        --- E O F ---        2009-05-26 11:14
PS: kanns sein dass jetzt alle treiber futsch sind?
Malware lässt sich jetzt starten, ich lass mal scannen!

john.doe 25.07.2009 16:02
Zitat:
kanns sein dass jetzt alle treiber futsch sind?
Was meinst du damit?

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

hellside 25.07.2009 16:17
das mit den Treibern hat sich erledigt, musste nur erneut starten!

dann noch eine frage:
ich sehe bei meinem pc beim booten nichts, d.h. mein Flachbildschirm bleibt im StandyBy-modus, ist das auch ein virus oder ähnliches oder liegt das einfach an dem treiber? wenn ich nämlich einen fetten röhrenbildschirm anschließe, dann geht es...

wenn antivir nen trojaner findet, was sollte man dann klicken? quarantäne? löschen? zugriff verweigern?


dann noch der neue LOG:

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Andy at 2009-07-25 17:39:41
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 97 GB (77%) free of 125 GB
Total RAM: 2047 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:45, on 25.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Zykon\F1Driver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Andy\Desktop\RSIT.exe
C:\Programme\trend micro\Andy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [La_View Mouse] D:\Zykon\F1Driver.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download All by Gigaget - D:\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - D:\Giganology\Gigaget\geturl.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1243258447218
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5404 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{111CAA23-6F4F-42AC-8555-B48C1D87BBAB}]
GigagetIEHelper Class - C:\WINDOWS\system32\gigagetbho_v10.dll [2006-01-09 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - D:\RealPlayer\rpbrowserrecordplugin.dll [2009-05-25 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Programme\Java\jre6\bin\jp2ssv.dll [2009-06-22 41368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-06-22 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - Veoh Web Player Video Finder - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll [2009-05-20 429816]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-02-25 61440]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2007-04-16 577536]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-05-25 198160]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"La_View Mouse"=D:\Zykon\F1Driver.exe [2006-04-10 1581056]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
D:\Programme\Java\jre6\bin\jusched.exe [2009-06-22 148888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-05-25 198160]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVP"=2
"npggsvc"=3
"TapiSrv"=3
"Spooler"=2
"PnkBstrB"=2
"PnkBstrA"=2
"JavaQuickStarterService"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-02-25 155648]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Xfire\Xfire.exe"="D:\Xfire\Xfire.exe:*:Enabled:Xfire"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"D:\Giganology\Gigaget\Gigaget.exe"="D:\Giganology\Gigaget\Gigaget.exe:*:Enabled:Gigaget"
"D:\alaplaya\S4League\S4Client.exe"="D:\alaplaya\S4League\S4Client.exe:*:Enabled:Project S4 Client.exe"
"D:\Steam\steamapps\source0656\counter-strike source\hl2.exe"="D:\Steam\steamapps\source0656\counter-strike source\hl2.exe:*:Enabled:hl2"
"D:\ICQ\ICQ6.5\ICQ.exe"="D:\ICQ\ICQ6.5\ICQ.exe:*:Enabled:ICQ"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Dokumente und Einstellungen\Andy\temp\TeamViewer\Version4\TeamViewer.exe"="C:\Dokumente und Einstellungen\Andy\temp\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"D:\Steam\steamapps\source0656\source dedicated server\srcds.exe"="D:\Steam\steamapps\source0656\source dedicated server\srcds.exe:*:Enabled:srcds"
"D:\Steam\Steam.exe"="D:\Steam\Steam.exe:*:Enabled:Steam"
"D:\Programme\Java\jre6\bin\javaw.exe"="D:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"D:\Programme\Java\jre6\bin\java.exe"="D:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"="C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:*:Enabled:Veoh Web Player "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-07-25 17:04:35 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Malwarebytes
2009-07-25 17:02:15 ----SHD---- C:\RECYCLER
2009-07-25 16:42:44 ----D---- C:\WINDOWS\temp
2009-07-25 16:42:43 ----A---- C:\ComboFix.txt
2009-07-25 16:33:02 ----A---- C:\Boot.bak
2009-07-25 16:32:59 ----RASHD---- C:\cmdcons
2009-07-25 16:28:28 ----A---- C:\WINDOWS\zip.exe
2009-07-25 16:28:28 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-07-25 16:28:28 ----A---- C:\WINDOWS\SWSC.exe
2009-07-25 16:28:28 ----A---- C:\WINDOWS\SWREG.exe
2009-07-25 16:28:28 ----A---- C:\WINDOWS\sed.exe
2009-07-25 16:28:28 ----A---- C:\WINDOWS\PEV.exe
2009-07-25 16:28:28 ----A---- C:\WINDOWS\NIRCMD.exe
2009-07-25 16:28:28 ----A---- C:\WINDOWS\grep.exe
2009-07-25 16:28:23 ----SD---- C:\cofi.exe
2009-07-25 16:28:23 ----D---- C:\WINDOWS\ERDNT
2009-07-25 16:28:20 ----D---- C:\Qoobox
2009-07-25 16:19:16 ----A---- C:\WINDOWS\system32\hjtscanlist.bat
2009-07-25 16:17:01 ----D---- C:\rsit
2009-07-25 16:17:01 ----D---- C:\Programme\trend micro
2009-07-25 15:35:03 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-25 15:29:52 ----D---- C:\Programme\Veoh Networks
2009-07-25 14:22:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-24 18:08:07 ----A---- C:\WINDOWS\system32\TUProgSt.exe
2009-07-24 18:08:06 ----A---- C:\WINDOWS\system32\uxtuneup.dll
2009-07-24 18:08:05 ----A---- C:\WINDOWS\system32\TuneUpDefragService.exe
2009-07-24 18:08:04 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\TuneUp Software
2009-07-24 18:07:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-07-24 18:07:10 ----SHD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-07-21 21:21:14 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\skypePM
2009-07-21 21:19:14 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Skype
2009-07-21 21:18:39 ----D---- C:\Programme\Gemeinsame Dateien\Skype
2009-07-21 21:18:38 ----RD---- C:\Programme\Skype
2009-07-21 21:18:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-11 18:56:45 ----HD---- C:\WINDOWS\PIF
2009-07-09 23:01:15 ----A---- C:\WINDOWS\system32\ChCfg.exe
2009-07-09 23:00:54 ----D---- C:\Programme\Realtek AC97
2009-07-09 23:00:54 ----A---- C:\WINDOWS\system32\RTLCPL.exe
2009-07-09 23:00:52 ----A---- C:\WINDOWS\system32\RtlCPAPI.dll
2009-07-09 23:00:52 ----A---- C:\WINDOWS\soundman.exe
2009-07-09 23:00:52 ----A---- C:\WINDOWS\alcupd.exe
2009-07-09 23:00:52 ----A---- C:\WINDOWS\Alcrmv.exe
2009-07-09 22:51:52 ----N---- C:\WINDOWS\system32\difxapi.dll
2009-07-09 22:49:33 ----D---- C:\Programme\Lavalys
2009-07-09 22:47:42 ----D---- C:\Programme\CCleaner
2009-07-08 19:42:16 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\DivX
2009-07-02 20:55:52 ----A---- C:\WINDOWS\system32\xfcodec.dll

======List of files/folders modified in the last 1 months======

2009-07-25 17:39:04 ----D---- C:\WINDOWS
2009-07-25 17:38:05 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-25 17:37:46 ----D---- C:\Programme\Mozilla Firefox
2009-07-25 17:37:06 ----D---- C:\WINDOWS\system32\drivers
2009-07-25 17:36:34 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-07-25 16:42:46 ----D---- C:\WINDOWS\system32
2009-07-25 16:42:01 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-25 16:41:46 ----A---- C:\WINDOWS\system.ini
2009-07-25 16:41:33 ----SHD---- C:\WINDOWS\Installer
2009-07-25 16:40:53 ----D---- C:\WINDOWS\AppPatch
2009-07-25 16:40:51 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-25 16:33:02 ----RASH---- C:\boot.ini
2009-07-25 16:28:17 ----D---- C:\WINDOWS\Prefetch
2009-07-25 16:17:01 ----RD---- C:\Programme
2009-07-25 15:28:32 ----D---- C:\Programme\Gemeinsame Dateien\DivX Shared
2009-07-24 20:32:01 ----D---- C:\WINDOWS\system32\config
2009-07-24 18:20:48 ----SD---- C:\WINDOWS\Tasks
2009-07-24 13:26:02 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\teamspeak2
2009-07-22 20:23:56 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Xfire
2009-07-20 16:14:35 ----D---- C:\WINDOWS\Minidump
2009-07-20 16:01:45 ----A---- C:\WINDOWS\win.ini
2009-07-14 14:51:43 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-07-14 13:10:42 ----HD---- C:\WINDOWS\inf
2009-07-10 17:10:26 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Adobe
2009-07-09 23:01:02 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-09 23:00:52 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-09 22:48:47 ----D---- C:\WINDOWS\Debug
2009-07-09 22:48:31 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-07-08 20:01:12 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-06-27 15:56:19 ----D---- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\vlc

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2009-02-13 45416]
R1 avipbb;avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2008-09-24 4122368]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-02-26 3565568]
R3 FETND5BV;VIA Rhine-Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2005-11-16 42496]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-06-21 25280]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2003-04-02 12288]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S3 a60h32v5;a60h32v5; C:\WINDOWS\system32\drivers\a60h32v5.sys []
S3 catchme;catchme; \??\C:\DOKUME~1\Andy\LOKALE~1\Temp\catchme.sys []
S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-06-09 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-02-25 602112]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2009-07-24 604488]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-02-25 593920]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-06-02 654848]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2009-07-24 361288]
S4 JavaQuickStarterService;Java Quick Starter; D:\Programme\Java\jre6\bin\jqs.exe [2009-06-22 152984]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 npggsvc;nProtect GameGuard Service; C:\WINDOWS\system32\GameMon.des [2009-06-17 3280428]
S4 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-05-28 75064]
S4 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-07-14 189800]

-----------------EOF-----------------
+

Code:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2499
Windows 5.1.2600 Service Pack 3

25.07.2009 17:36:05
mbam-log-2009-07-25 (17-36-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 202792
Laufzeit: 29 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.120,85.255.112.83 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{11af52c8-5905-44d7-b1e4-c2ead0947c55}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.120,85.255.112.83 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\qoobox\quarantine\c\windows\system32\gxvxcwbvknspmbpxnrdlrsbuwwviyqpaufivf.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{0fdc82d5-2e4f-4b47-bceb-87472dc7b593}\rp39\A0045024.dll (Trojan.Agent) -> Quarantined and deleted successfully.

john.doe 25.07.2009 17:29
Unterlasse es mir ständig PNs zu schicken, das nervt ungeheuer. :koch:
Zitat:
liegt das einfach an dem treiber?
Eher am Flachbildschirm. :)
Zitat:
wenn antivir nen trojaner findet, was sollte man dann klicken? quarantäne?
Quarantäne.

1.) Deinstalliere:
  • Bonjour
  • TuneUp Utilities
2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

hellside 25.07.2009 17:50
ok bin dabei, verstehe zwar ned warum ich TuneUp deinstallieren soll aber wenns hilft ^^
und das programm bonjour hab ich noch nie bei mir gesehen...

john.doe 25.07.2009 18:02
TuneUp: Wundermittel oder Placebo? | DerFisch.de
Tuning- und Tweaking-Mythen | DerFisch.de
http://www.dafe.ch/uploads/media/Chip-Systemstart.pdf
http://www.trojaner-board.de/433943-post8.html (letzter Absatz)
http://www.trojaner-board.de/330421-post12.html
http://www.trojaner-board.de/445140-post7.html

Ich kann noch mehr raussuchen. :D

ciao, andreas

hellside 26.07.2009 19:14
so, habe windoof jetzt neu installiert!
und mein antivir hat beim ersten durchgang gleich diese Datei gefunden:
SPR/Tool.Reboot.E gefunden im Ordner der Systemwiederherstellung? oO

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:11:47, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Andi\Zykon\F1Driver.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\explorer.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Andi\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TRIXX] "D:\Programme\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [La_View Mouse] C:\PROGRA~1\Andi\Zykon\F1Driver.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Download All by Gigaget - C:\Programme\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Programme\Giganology\Gigaget\geturl.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248610426937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248614969125
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 4640 bytes


PS: wenn du gegen TuneUp bist, welches Programm würdest du dann empfehlen?

john.doe 26.07.2009 19:30
Zitat:
so, habe windoof jetzt neu installiert!
Gut. :daumenhoc
Zitat:
und mein antivir hat beim ersten durchgang gleich diese Datei gefunden:
SPR/Tool.Reboot.E gefunden im Ordner der Systemwiederherstellung? oO
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

Deinstalliere AdAware und hole dir Malwarebytes. Der erkennt die aktuellen Bedrohungen besser und vor allem kann er sie entfernen.

Deine Software ist aktuell, das ist gut und wichtig.

Starte HJT => Do a system scan only => Markiere
Code:
Alle R0, R1, O2, O8, O9 und O16-Einträge
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
=> Fix checked

Zitat:
PS: wenn du gegen TuneUp bist, welches Programm würdest du dann empfehlen?
Keins, hast du denn nicht die Links gelesen?

Ist dein Rechner jetzt ohne TuneUp langsamer oder schneller als vorher mit TuneUp?

Das Aufräumen kannst du mit CCleaner oder der Datenträgerbereinigung erledigen. Das Defragmentieren mit JKDefrag oder der Windows-Defragmentierung.

ciao, andreas

hellside 26.07.2009 19:53
Zitat:
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.
erledigt!

Zitat:
Deinstalliere AdAware und hole dir Malwarebytes. Der erkennt die aktuellen Bedrohungen besser und vor allem kann er sie entfernen.

hatte malwarebytes schon drauf und habe beide Programme benutzt, habe jetzt aber adaware entfernt(hat mich eh genervt weils bei nem programm meiner grafikkarte immer malware angezeigt hat...)

so zur neuen file:
Code:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TRIXX] "D:\Programme\TRIXX\TRIXX.exe" -s
O4 - HKCU\..\Run: [La_View Mouse] C:\PROGRA~1\Andi\Zykon\F1Driver.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Download All by Gigaget - C:\Programme\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Programme\Giganology\Gigaget\geturl.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248610426937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248614969125
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
und noch von malwarebytes:
Code:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2505
Windows 5.1.2600 Service Pack 3

26.07.2009 21:00:43

mbam-log-2009-07-26 (21-00-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 74195
Laufzeit: 5 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Also zwei Dateien sind jetzt bei mir bei Antivir in der Quarantäne und hab seitdem auch keine meldungen mehr bekommen:

Code:
1. In der Datei 'C:\System Volume Information\_restore{5AD1FDC5-809C-45D9-9783-867D5F27CD34}\RP116\A0009178.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Reboot.E' [riskware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
2. Die Datei 'C:\System Volume Information\_restore{5AD1FDC5-809C-45D9-9783-867D5F27CD34}\RP116\A0009178.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Reboot.E' [riskware].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Fehler in der ARK Library.
Die Datei wurde zum Löschen nach einem Neustart markiert.

john.doe 26.07.2009 20:17
Du hättest einen Neustart vor dem neuen HJT machen müssen.

Du bist entlassen. :)

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131