Trojaner-Board - Spürbar Trojaner oder Virus im System !!!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Spürbar Trojaner oder Virus im System !!!!! (https://www.trojaner-board.de/77308-spuerbar-trojaner-virus-system.html)

Spürbar Trojaner oder Virus im System !!!!!

Habe hier mal meine Log gepostet und hoffe ihr könnt mir helfen. Ich merke das irgendetwas nicht stimmt. Ihr seit mien letzte Hoffnung, bedanke mich schonmal im Vorraus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:56, on 10.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\bootfile.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Samsung\EmoDio\SMSTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\Programme\Tenda\W541U V2.0\UI.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\bootfile.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ICQ-Tools.de Launcher.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\gprs.exe
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O4 - Global Startup: W541U V2.0.lnk = ?
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe

--
End of file - 7346 bytes

Hallo und :hallo:

Zitat:

Ich merke das irgendetwas nicht stimmt.

Woran genau? Das sieht übelst nach RAT aus. Deshalb jetzt schnell reagieren.

1.) Starte HJT => Do a system scan only => Markiere:

Code:

O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\bootfile.exe

=> Fix checked => Neustart => Neues HJT-Log posten

2.) Lade die Dateien

Code:

C:\WINDOWS\system32\bootfile.exe

C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe

C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.htmlMarkiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

ciao, andreas

Erstmal Dankeschön für die schnelle Antwort.
Ich merke es daran, dass immer wenn ich einen Text eingeben möchte er immer aus der Eingabe springt und ich so wieder neu klicken muss um etwas schreiben zu können. Quasi so als wollte jemand nicht das ich was schreibe.

Hier die neue HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:06:31, on 11.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\bootfile.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\bootfile.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ICQ-Tools.de Launcher.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\gprs.exe
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O4 - Global Startup: W541U V2.0.lnk = ?
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe

--
End of file - 7253 bytes

Die Anzeichen auf RAT verdichten sich. Die Analyse von VT:

Code:

Datei bootfile.exe empfangen 2009.09.11 06:09:39 (UTC)

Status: Beendet 

Ergebnis: 3/41 (7.32%)

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.5.0.24        2009.09.11        -

AhnLab-V3        5.0.0.2        2009.09.11        -

AntiVir        7.9.1.14        2009.09.10        TR/Dropper.Gen

Antiy-AVL        2.0.3.7        2009.09.11        -

Authentium        5.1.2.4        2009.09.11        -

Avast        4.8.1351.0        2009.09.10        -

AVG        8.5.0.412        2009.09.10        -

BitDefender        7.2        2009.09.11        -

CAT-QuickHeal        10.00        2009.09.11        -

ClamAV        0.94.1        2009.09.11        -

Comodo        2279        2009.09.11        -

DrWeb        5.0.0.12182        2009.09.10        -

eSafe        7.0.17.0        2009.09.10        -

eTrust-Vet        31.6.6731        2009.09.11        -

F-Prot        4.5.1.85        2009.09.10        -

F-Secure        8.0.14470.0        2009.09.11        -

Fortinet        3.120.0.0        2009.09.11        -

GData        19        2009.09.11        -

Ikarus        T3.1.1.72.0        2009.09.11        -

Jiangmin        11.0.800        2009.09.11        -

K7AntiVirus        7.10.841        2009.09.10        -

Kaspersky        7.0.0.125        2009.09.11        -

McAfee        5737        2009.09.10        -

McAfee+Artemis        5737        2009.09.10        -

McAfee-GW-Edition        6.8.5        2009.09.11        Trojan.Dropper.Gen

Microsoft        1.5005        2009.09.11        VirTool:Win32/VBInject.gen!BJ

NOD32        4415        2009.09.10        -

Norman        6.01.09        2009.09.10        -

nProtect        2009.1.8.0        2009.09.10        -

Panda        10.0.2.2        2009.09.10        -

PCTools        4.4.2.0        2009.09.10        -

Prevx        3.0        2009.09.11        -

Rising        21.46.40.00        2009.09.11        -

Sophos        4.45.0        2009.09.11        -

Sunbelt        3.2.1858.2        2009.09.11        -

Symantec        1.4.4.12        2009.09.11        -

TheHacker        6.3.4.4.400        2009.09.10        -

TrendMicro        8.950.0.1094        2009.09.11        -

VBA32        3.12.10.10        2009.09.11        -

ViRobot        2009.9.11.1929        2009.09.11        -

VirusBuster        4.6.5.0        2009.09.10        -

weitere Informationen

File size: 131072 bytes

MD5   : 72691c53cf9a0610d8eaa751a7ded301

SHA1  : 841637128e26b31c6170ef035bf98d7d10dd2e98

SHA256: e04885113e9fdbee9e31351b7be009a9943893b8870884a09be3e2c62ceba693

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x6B38

timedatestamp.....: 0x4A1AACF6 (Mon May 25 16:36:38 2009)

machinetype.......: 0x14C (Intel I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x19064 0x1A000 5.53 96d9a20d40a2d3ecca55ac02eba356cb

.data 0x1B000 0xB04 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

.rsrc 0x1C000 0x3A70 0x4000 6.94 a37c8bca165a5f6c2f993b58666ab3b3
 

( 1 imports )
 

> msvbvm60.dll: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaAryMove, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, __vbaEnd, __vbaPut3, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, -, __vbaAryDestruct, __vbaExitProc, -, -, __vbaOnError, -, _adj_fdiv_m16i, _adj_fdivr_m16i, -, __vbaBoolVarNull, _CIsin, __vbaErase, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaPutOwner3, __vbaAryConstruct2, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, __vbaPrintFile, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, -, __vbaFPException, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaVar2Vec, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaVarCmpEq, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, -, __vbaFpI4, __vbaVarCopy, __vbaR8IntI2, -, _CIatan, __vbaStrMove, __vbaAryCopy, __vbaStrVarCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaI4ErrVar, __vbaFreeObj, -, -
 

( 0 exports )

ssdeep: 3072:uM3OF3mgCN4k8DRkskaaom2x4fY3pNQfF8y/dO6oMc/Ohi:Ys338DRkskaaom2xtp/

PEiD  : -

RDS   : NSRL Reference Data Set

-

Die von Anubis. Rolle bis ans Ende und klicke auf das Plus vor DNS Queries. Du findest:

Zitat:

andreeele.no-ip.biz

Das ist eindeutig. Es gibt nur eine Lösung, die sicher ist => http://www.trojaner-board.de/51262-a...sicherung.html

Falls du lieber bereinigen möchtest, dann:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

ComboFix 09-09-10.03 - 132 11.09.2009 18:41.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1542 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\132\Eigene Dateien\Downloads\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090910-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\be55f7.msi
c:\windows\system32\muzapp.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-11 bis 2009-09-11 ))))))))))))))))))))))))))))))
.

2009-09-10 21:14 . 2009-09-10 21:14 -------- d-----w- c:\programme\Trend Micro
2009-09-03 20:33 . 2009-09-03 20:33 -------- d-----w- c:\programme\Easy MP3 Cutter
2009-09-01 19:39 . 2009-09-01 19:39 131072 ----a-w- c:\windows\system32\bootfile.exe
2009-08-31 19:50 . 2009-08-31 19:50 21419 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-08-31 19:50 . 2008-08-28 14:52 627072 ----a-w- c:\windows\system32\drivers\rt2870.sys
2009-08-31 19:50 . 2008-08-28 14:38 221184 ----a-w- c:\windows\system32\RaCoInst.dll
2009-08-31 19:50 . 2008-08-28 14:38 15312 ----a-w- c:\windows\system32\RaCoInst.dat
2009-08-31 19:50 . 2009-08-31 19:50 -------- d-----w- c:\programme\Tenda
2009-08-31 19:50 . 2009-08-31 19:50 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\InstallShield
2009-08-29 05:50 . 2009-08-29 05:50 -------- d--h--w- c:\windows\PIF
2009-08-28 21:21 . 2009-08-28 21:21 -------- d-----w- c:\programme\Universe
2009-08-28 21:20 . 2009-08-28 21:20 -------- d-----w- c:\programme\PhotonFX
2009-08-28 21:20 . 2009-08-28 21:20 -------- d-----w- c:\programme\TW2
2009-08-28 18:15 . 2009-08-28 18:15 -------- d-----w- c:\dokumente und einstellungen\132\Lokale Einstellungen\Anwendungsdaten\id Software
2009-08-28 18:13 . 2009-03-09 13:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-08-28 18:13 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2009-08-28 18:13 . 2009-03-16 12:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-08-28 18:13 . 2009-03-16 12:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-08-28 18:13 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-08-28 18:13 . 2009-03-16 12:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-08-28 18:13 . 2009-03-16 12:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-08-28 18:01 . 2009-08-28 18:01 -------- d-sh--w- c:\windows\ftpcache
2009-08-21 13:34 . 2009-08-21 13:34 -------- d-----w- c:\programme\ICQ-Tools.de
2009-08-21 13:34 . 2009-08-21 13:34 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\ICQ-Tools.de
2009-08-17 21:39 . 2009-08-17 21:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-08-17 21:38 . 2009-08-17 21:38 -------- d-----w- c:\programme\IVT Corporation
2009-08-16 02:50 . 2009-08-16 02:50 -------- d-----w- c:\windows\Sun
2009-08-16 02:48 . 2009-08-16 02:48 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-08-16 02:48 . 2009-08-16 02:48 -------- d-----w- c:\programme\Java
2009-08-14 10:20 . 2004-08-03 21:10 38016 -c--a-w- c:\windows\system32\dllcache\bthmodem.sys
2009-08-14 10:20 . 2004-08-03 21:10 38016 ----a-w- c:\windows\system32\drivers\bthmodem.sys
2009-08-12 20:30 . 2009-08-12 20:30 -------- d-----w- c:\windows\ServicePackFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-11 16:28 . 2009-06-21 12:16 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\Skype
2009-09-11 16:28 . 2009-06-21 12:19 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\skypePM
2009-09-11 16:27 . 2009-06-23 07:36 -------- d-----w- c:\programme\Steam
2009-09-03 20:13 . 2009-07-01 05:58 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\dvdcss
2009-08-31 19:52 . 2007-10-29 12:00 80104 ----a-w- c:\windows\system32\perfc007.dat
2009-08-31 19:52 . 2007-10-29 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-08-31 19:50 . 2009-06-20 19:15 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-31 01:22 . 2009-06-28 21:12 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\uTorrent
2009-08-21 13:38 . 2009-06-26 13:58 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\ICQ
2009-08-21 11:54 . 2009-06-25 17:35 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\teamspeak2
2009-08-21 11:54 . 2009-06-25 17:35 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-08-09 05:05 . 2009-06-22 13:22 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\vlc
2009-08-08 21:14 . 2009-08-08 20:06 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\kikin
2009-08-08 20:06 . 2009-08-08 20:06 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\OCS
2009-08-08 20:06 . 2009-08-08 20:06 -------- d-----w- c:\programme\kikin
2009-08-08 20:06 . 2009-08-08 20:06 -------- d-----w- c:\programme\Multi-ICQ
2009-08-08 20:06 . 2009-06-20 23:21 12328 ----a-w- c:\dokumente und einstellungen\132\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-05 09:05 . 2007-10-29 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 09:13 . 2009-07-14 21:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-17 18:56 . 2007-10-29 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 08:50 . 2009-07-16 22:16 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-07-16 22:30 . 2009-07-16 22:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-16 22:30 . 2009-07-10 20:23 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-16 22:30 . 2009-07-10 20:23 22328 ----a-w- c:\dokumente und einstellungen\132\Anwendungsdaten\PnkBstrK.sys
2009-07-16 22:29 . 2009-07-10 20:22 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-16 22:29 . 2009-07-10 20:22 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-16 22:18 . 2009-07-14 21:30 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\DAEMON Tools Lite
2009-07-16 22:16 . 2009-07-16 22:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-07-16 22:16 . 2009-07-16 22:16 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-14 21:36 . 2009-07-14 21:36 -------- d-----w- c:\programme\MSXML 4.0
2009-07-14 21:30 . 2009-07-14 21:30 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-14 21:15 . 2009-07-14 21:14 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-14 21:07 . 2009-06-23 10:46 -------- d-----w- c:\programme\Windows Media Connect 2
2009-07-14 20:51 . 2009-07-14 20:51 -------- d-----w- c:\programme\CCleaner
2009-07-14 20:48 . 2009-06-30 07:14 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\Samsung
2009-07-14 15:30 . 2009-06-28 21:57 -------- d-----w- c:\programme\Garena
2009-07-14 15:00 . 2009-06-20 19:15 -------- d-----w- c:\programme\ATI Technologies
2009-07-13 21:43 . 2007-10-29 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 20:22 . 2009-07-10 20:22 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-03 16:55 . 2007-10-29 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-30 07:13 . 2009-06-30 06:43 5632 ----a-w- c:\windows\system32\drivers\StarOpen.sys
2009-06-26 20:12 . 2009-06-26 20:12 0 ----a-w- c:\windows\nsreg.dat
2009-06-25 18:34 . 2007-10-29 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:34 . 2007-10-29 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:34 . 2007-10-29 12:00 533504 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:34 . 2007-10-29 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:34 . 2007-10-29 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:34 . 2007-10-29 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:34 . 2007-10-29 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:34 . 2007-10-29 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:34 . 2007-10-29 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:34 . 2007-10-29 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:34 . 2007-10-29 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-25 18:34 . 2007-10-29 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 08:44 . 2007-10-29 12:00 732160 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:44 . 2007-10-29 12:00 59392 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:44 . 2007-10-29 12:00 56320 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:44 . 2007-10-29 12:00 168448 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:44 . 2007-10-29 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:44 . 2007-10-29 12:00 298496 ----a-w- c:\windows\system32\kerberos.dll
2009-06-22 22:10 . 2009-06-22 22:10 0 ----a-w- c:\windows\ativpsrm.bin
2009-06-22 19:34 . 2009-06-20 22:29 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-06-22 11:49 . 2007-10-29 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2007-10-29 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2007-10-29 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2007-10-29 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-22 11:34 . 2007-10-29 12:00 92544 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-21 12:19 . 2009-06-21 12:19 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-06-20 19:24 . 2009-06-20 19:24 315392 ----a-w- c:\windows\HideWin.exe
2009-06-20 19:02 . 2009-06-20 19:02 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-06-16 14:53 . 2007-10-29 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:53 . 2007-10-29 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 11:32 . 2007-10-29 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:31 . 2007-10-29 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
2009-06-09 15:40 429280 ----a-w- c:\programme\kikin\ie_kikin.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-05-26 24264488]
"Steam"="c:\programme\Steam\Steam.exe" [2009-06-28 1217784]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SMSTray"="c:\programme\Samsung\EmoDio\SMSTray.exe" [2008-09-17 484880]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-28 13516800]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-28 86016]
"Ocs_SM"="c:\dokumente und einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe" [2009-08-08 102400]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-16 148888]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-10 16126464]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-02-28 1626112]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-10-29 15360]

c:\dokumente und einstellungen\132\Startmen\Programme\Autostart\
ICQ-Tools.de Launcher.lnk - c:\dokumente und einstellungen\132\Anwendungsdaten\Microsoft\Installer\{959214DF-C502-402A-A5A0-D8CE3EB74CDC}\_AA6D09703DA76FD7ACB5DC.exe [2009-8-21 10134]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\gprs.exe [2007-12-27 43608]
MSI US54SE 802.11b+g USB Stick Utility.lnk - c:\programme\MSI\US54SE_Utility\ZDWlan.exe [2009-6-20 483328]
W541U V2.0.lnk - c:\programme\Tenda\W541U V2.0\UI.exe [2009-8-31 2121728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Games\\World of Warcraft\\WoW-3.0.1-to-3.0.2-deDE-Win-Update-downloader.exe"=
"c:\\Games\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Games\\Rainbowsix Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"c:\\Games\\Rainbowsix Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
"c:\\Programme\\Tenda\\W541U V2.0\\UI.exe"=
"c:\\Games\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Games\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:*:Disabled:Blizzard Downloader: 3724

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [20.06.2009 23:38 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [20.06.2009 23:38 20560]
R2 Start BT in service;Start BT in service;c:\programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [27.12.2007 15:39 51816]
R3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\system32\drivers\rt2870.sys [31.08.2009 21:50 627072]
S2 SearchAnonymizer;SearchAnonymizer;c:\dokumente und einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe [08.08.2009 22:06 40960]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PciCon;PciCon;\??\d:\pcicon.sys --> d:\PciCon.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F522A7F1-77D5-0D22-3E81-E707CD2E7E4B}]
c:\windows\system32\bootfile.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\programme\kikin\ie_kikin.dll
FF - ProfilePath - c:\dokumente und einstellungen\132\Anwendungsdaten\Mozilla\Firefox\Profiles\5ybrliwh.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\132\Anwendungsdaten\Mozilla\Firefox\Profiles\5ybrliwh.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}\components\kikin.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-09-11 18:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-117609710-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88F315D3-9674-A792-1E87-9E71FD962345}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iajdifnofbhokjenpp"=hex:6b,61,68,6f,6f,69,64,64,61,6f,6f,6e,6f,6a,6f,6d,64,6b,
69,67,6b,65,00,00
"hadekeagpbbplfnp"=hex:6b,61,68,6f,6f,69,64,64,61,6f,6f,6e,6f,6a,6f,6d,64,6b,
69,67,6b,65,00,00
.
Zeit der Fertigstellung: 2009-09-11 18:47
ComboFix-quarantined-files.txt 2009-09-11 16:47

Vor Suchlauf: 11 Verzeichnis(se), 132.062.339.072 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 132.119.711.744 Bytes frei

224 --- E O F --- 2009-09-10 05:14

Seit dem 1.9.2009 19:31 Uhr hatte jemand Zugriff auf deinen Rechner. Das etwas passiert ist, hast du ja gemerkt. Hier schau, was alles möglich ist => Remote Administration Tool ? Wikipedia

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

PciCon

SetupNTGLM7X
 

RegNull::

[HKEY_USERS\S-1-5-21-117609710-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88F315D3-9674-A792-1E87-9E71FD962345}*]
 

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F522A7F1-77D5-0D22-3E81-E707CD2E7E4B}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"=-

"Skype"=-

"Steam"=-

"SpybotSD TeaTimer"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-
 

File::

C:\WINDOWS\system32\bootfile.exe
 

DirLook::

c:\programme\Easy MP3 Cutter

c:\programme\Trend Micro

c:\dokumente und einstellungen\132\Anwendungsdaten\Skype

c:\dokumente und einstellungen\132\Anwendungsdaten\skypePM

c:\programme\Steam

c:\dokumente und einstellungen\132\Anwendungsdaten\dvdcss

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Die Datei war zu groß, ich habe sie bei Rapidshare hochgeladen .

=> http://rapidshare.com/files/278789152/log.txt.html

mfg
Marius

Hallo Marius,

Zitat:

Ich merke es daran, dass immer wenn ich einen Text eingeben möchte er immer aus der Eingabe springt und ich so wieder neu klicken muss um etwas schreiben zu können. Quasi so als wollte jemand nicht das ich was schreibe.

Ist das immer noch so oder gibt es eine Besserung?

ciao, andreas

Jetzt startet der Task: bootfile.exe auch nicht mehr und bis jetzt habe ich dieses problem nicht wieder gehabt. Auch die fehlermeldung mit dem fehlendem Windowas script ist weg. Hoffentlich ist er weg :).
Ich bedanke mich für die schnelle Hilfe
mfg
Marius

Zitat:

bootfile.exe auch nicht mehr und bis jetzt habe ich dieses problem nicht wieder gehabt.

Du hast noch immer nicht verstanden, was ein RAT ist. :(

Zitat:

Auch die fehlermeldung mit dem fehlendem Windowas script ist weg.

Habe ich etwas übersehen oder erwähnst du das zum ersten Mal? Das bedeutet nämlich, dass es nicht aktiv werden konnte. :)

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas