Trojaner-Board - weiss nicht mehr weiter

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - weiss nicht mehr weiter (https://www.trojaner-board.de/51577-weiss-mehr.html)

weiss nicht mehr weiter

hallo zusammen

habe ein großes problem HijackThis lässt sich nicht mehr öffen, somit kann ich keine daten übermitteln, mein rechner hat meine firewall abgeschalten, habe da unzählige trojaner usw drauf....
bitte helft mir....weiss nicht mehr was ich machen soll

mfg denny

Versuche folgendes

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- nenne die Datei in tbcf.com um
- Mache einen Doppelklick auf tbcf.com
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

das problem besteht noch immer, kann das programm nicht öffnen, was soll ich denn nur machen?
meine scans beseitigen es, aber es tut sich nix

mfg denny

OK, wenn Du HJT schon auf dem Rechner hast, versuchen wir es hier mal genauso.
Also die HiJackThis.exe in thiss.com umbenennen, versuchen zu starten.

ja wie? habe da nicht so viel ahnung....wo soll ich die umbenennen?

Rechtsklick / Umbenennen und dort thiss.com eingeben.
Es wird eine Warnung kommen, diese bejahen.
Die Datei starten.
Dann Speichere diese Datei ueber Rechtsklick / datei speichern auf Deinen PC und starte sie ueber rechte Maustaste installieren.
Dann solltest du wieder exe Dateien starten koennen: klick

habe das gemacht, bzw umbenannt, nix passiert,.....

Lies mal meine Ergänzung (Drück F5)

es lässt sich nix machen, habe es umbenannt, aber nicht mal löschen kann ich es. gibt es keine andere möglichkeit?

Speichere diese Datei ueber Rechtsklick / datei speichern auf Deinen PC und starte sie ueber rechte Maustaste installieren.
Dann solltest du wieder exe Dateien starten koennen:

nein es tut sich nix, die alte lässt sich nicht mal löschen, komme absolut nicht rein

mfg denny

Du hast die Datei runtergleladen
Dann mit Rechtsklick / Installieren hinzugefügt
und dann noch mal eine .exe Datei versucht zu öffnen?

ja der install neu und es passiert nix....sorry....weiss nicht mehr weiter

Ich rede von der FIX-exec.inf!
Da hab ich wenig Hoffnung wenn Du die meinst. Aber lass uns noch was versuchen.

ja geht nicht auf wenn ich auf install mache, passiert nix

hat komplett alles aus geschalten, komme nicht mehr weiter

Hmmm, hast Du denn dannach versucht eines der Programme zu öffnen (HJT, Combofix)?

so habe es hin bekommen....die daten kamen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:43:27, on 15.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\trojaner.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [WinReanimator] "C:\Program Files\WinReanimator\WinReanimator.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://rtl.midasplayer.de/ctl/kingcomie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198235750270
O20 - AppInit_DLLs: cru629.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4540 bytes

und nun? danke dir im vorraus

Sehr schön, klappt Combofix nun auch?
Hast ein fieses Rootkit

nein leider nicht, hoffe kannst mir so weiter helfen

muss ins bett, bin aber mogen früh wieder da....hoffe hast noch ein paar tips für mich

mfg denny

Lösche alle Versionen von Combofix, die Du bist jetzt heruntergeladen hast!

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.

- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)

- Klicke auf Start---> Ausführen---> tippe "%userprofile%\Desktop\ComboFix.exe" /killall
und folge den Anweisungen.

http://img518.imageshack.us/img518/8...killalldt6.jpg

- Wenn Combofix fertig ist, erstellt es ein Logfile für Dich.

- Bitte poste das "C:\ComboFix.txt" log mit einem neuen HijackThis logfile.

Wichtig:
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Wenn Combofix nicht starten will

Lade http://home.hetnet.nl/~stefsmeenk/FixPolicies.exe auf Deinen Desktop.
Doppelkliche FixPolicies.exe um es zu entpacken, am besten auf dem Dektop.
Nun hast Du einen Ordner FixPolicies auf dem Desktop.
Hier die DateiFix_policies.cmd doppelklicken um zu starten, es erscheint ein kleines Fenster, das ist normal.
Jetzt combofix nochmal starten.

das hilft nix, lässt sich nicht öffnen, ist auf dem dekstop aber passiert nix.
gibts denn keine andere hilfe?

mfg denny

mion,

ich will mich ja nicht einmischen. aber suche mal alle einträge von combofix über
start-->suche--->nach dateien oder ordner.
und lösche sie manuel.
kannst auch mal unter start-->ausführen-->combofix \u eingeben. dann wird es auch deinstalliert.
warte aber lieber noch was bataAlexander sagt.

gruß

habe ich gemacht, alles runter.
es kommt immer die meldung mein com...ist infiziert hier programm runter laden...der will immer das ich das programm installiere....

mfg

Zitat:

Zitat von denny-wolf (Beitrag 333640)

habe ich gemacht, alles runter.

du solltest doch warten was bataAlexander dazu sagt

weiter kann ich dir auch nicht gehelfen. da müssen schon die profis ran.

so habe unter suche nach der datei geschaut, gefunden und raus gelöscht.
wie kann ich jetzt überprüfen ob mein rechner noch gefährdet ist? danke für alle antworten

mfg denny

soch hier alle daten jetzt. endlich geht es

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:55, on 2008-04-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://rtl.midasplayer.de/ctl/kingcomie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198235750270
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4282 bytes

ComboFix 08-04-14.2 - user 2008-04-15 10:27:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.568 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
Command switches used :: /killall
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\braviax.exe
C:\WINDOWS\system32\braviax.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-15 bis 2008-04-15 ))))))))))))))))))))))))))))))
.

2008-04-15 09:48 . 2007-03-09 00:02 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-15 09:43 . 2008-04-15 09:43 <DIR> d-------- C:\Programme\Zone Labs
2008-04-15 09:23 . 2004-08-10 21:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-04-15 09:18 . 2008-04-15 09:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-15 09:16 . 2008-04-15 09:36 <DIR> d-------- C:\Programme\Norton Security Scan
2008-04-15 09:04 . 2008-04-15 09:11 <DIR> d-------- C:\Programme\Registry Easy
2008-04-15 08:45 . 2008-04-15 08:45 4,060 --a------ C:\hijackthis.log neu
2008-04-15 00:13 . 2008-04-15 00:13 396,288 --a------ C:\trojaner.exe
2008-04-14 23:44 . 2008-04-14 23:44 19,400 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lekoqet.vbs
2008-04-14 23:44 . 2008-04-14 23:44 19,112 --a------ C:\Dokumente und Einstellungen\user\Anwendungsdaten\ximotyxu.bin
2008-04-14 23:44 . 2008-04-14 23:44 18,934 --a------ C:\WINDOWS\system32\yzub.ban
2008-04-14 23:44 . 2008-04-14 23:44 18,926 --a------ C:\WINDOWS\evacawe.dat
2008-04-14 23:44 . 2008-04-14 23:44 18,721 --a------ C:\Programme\Gemeinsame Dateien\morykawoj.pif
2008-04-14 23:44 . 2008-04-14 23:44 17,563 --a------ C:\WINDOWS\kewu.dl
2008-04-14 23:44 . 2008-04-14 23:44 16,860 --a------ C:\WINDOWS\igucyn.vbs
2008-04-14 23:44 . 2008-04-14 23:44 16,098 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynyfir.bin
2008-04-14 23:44 . 2008-04-14 23:44 14,512 --a------ C:\WINDOWS\nevydimu.exe
2008-04-14 23:44 . 2008-04-14 23:44 12,818 --a------ C:\WINDOWS\uxyhemijy.exe
2008-04-14 23:44 . 2008-04-14 23:44 12,322 --a------ C:\Dokumente und Einstellungen\user\Anwendungsdaten\pomimofy.bat
2008-04-14 23:44 . 2008-04-14 23:44 11,763 --a------ C:\WINDOWS\atexivaqi.lib
2008-04-14 23:44 . 2008-04-14 23:44 10,412 --a------ C:\WINDOWS\ujuwazera.sys
2008-04-14 22:39 . 2008-04-15 09:34 <DIR> d-------- C:\Programme\a-squared Free
2008-04-14 22:29 . 2008-04-14 22:29 84 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-04-14 22:28 . 2008-04-15 09:14 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-14 22:23 . 2008-04-14 22:23 19,344 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ojugyxo.bat
2008-04-14 22:23 . 2008-04-14 22:23 19,247 --a------ C:\WINDOWS\system32\uqewi.com
2008-04-14 22:23 . 2008-04-14 22:23 18,312 --a------ C:\WINDOWS\cacir.reg
2008-04-14 22:23 . 2008-04-14 22:23 15,659 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hevysusa.com
2008-04-14 22:23 . 2008-04-14 22:23 15,094 --a------ C:\WINDOWS\system32\vakenedysa.bat
2008-04-14 22:23 . 2008-04-14 22:23 14,091 --a------ C:\WINDOWS\ikepudo._sy
2008-04-14 22:23 . 2008-04-14 22:23 12,754 --a------ C:\Dokumente und Einstellungen\user\Anwendungsdaten\xycabucis.bin
2008-04-14 22:23 . 2008-04-14 22:23 11,770 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jykarugage.sys
2008-04-14 22:23 . 2008-04-14 22:23 10,541 --a------ C:\WINDOWS\caqymid.sys
2008-04-14 22:23 . 2008-04-14 22:23 10,494 --a------ C:\WINDOWS\ozarytob.bin
2008-04-14 22:23 . 2008-04-14 22:23 10,013 --a------ C:\WINDOWS\myboqyzify.ban
2008-04-10 12:05 . 2008-04-10 12:05 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-04-09 13:41 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-04-09 13:38 . 2007-02-03 10:25 1,075,360 --a------ C:\WINDOWS\system32\drivers\Camdrl.sys
2008-04-09 13:38 . 2007-02-03 10:32 527,136 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-09 13:38 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system\msvcr71.dll
2008-04-09 13:38 . 2007-02-03 10:29 264,992 --a------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-09 13:38 . 2007-02-03 10:32 215,840 --a------ C:\WINDOWS\system32\LVUI2.dll
2008-04-09 13:38 . 2007-02-03 10:26 154,400 --a------ C:\WINDOWS\system\CamExL20.dll
2008-04-09 13:38 . 2007-02-03 10:29 129,824 --a------ C:\WINDOWS\system32\lvci1051.dll
2008-04-09 13:38 . 2007-02-03 10:25 117,536 --a------ C:\WINDOWS\system\CamExL20.ax
2008-04-09 13:38 . 2007-02-03 08:59 50,127 --a------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-09 13:38 . 2007-02-03 10:32 41,504 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-09 13:38 . 2007-02-03 09:01 13,398 --a------ C:\WINDOWS\system32\Repository.reg
2008-04-09 13:37 . 2008-04-09 13:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LogiShrd
2008-04-09 13:37 . 2008-04-09 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-09 13:37 . 2008-04-09 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logishrd
2008-04-09 13:36 . 2008-04-09 13:37 <DIR> d-------- C:\Programme\Logitech
2008-04-09 13:22 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-04-09 13:22 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-04-04 12:33 . 2008-04-04 12:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-04 12:33 . 2008-04-04 12:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-31 18:39 . 2008-03-31 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\DATABECKER
2008-03-31 17:30 . 2008-03-31 17:30 81,408 --a------ C:\WINDOWS\system32\drivers\SSHDRV86.sys
2008-03-31 17:18 . 2008-03-31 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Warenwirtschaft
2008-03-31 17:18 . 2008-03-31 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Software FX Shared
2008-03-31 17:18 . 2001-06-20 22:50 1,585,152 --a------ C:\WINDOWS\system32\ACTRPT2.DLL
2008-03-31 17:17 . 2008-03-31 17:20 <DIR> d-------- C:\Programme\DATA BECKER
2008-03-27 13:19 . 2008-03-27 13:20 <DIR> d-------- C:\Programme\Windows Live
2008-03-27 13:19 . 2008-03-27 13:20 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-27 13:19 . 2008-03-27 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-24 22:39 . 2007-03-12 17:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-03-24 22:39 . 2007-03-12 17:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-03-24 22:39 . 2007-03-15 17:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-03-24 22:39 . 2007-04-04 19:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-03-24 22:39 . 2007-04-04 19:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-03-24 22:39 . 2007-03-05 13:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-03-24 22:24 . 2008-03-24 22:24 <DIR> d-------- C:\Programme\THQ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 08:22 --------- d-----w C:\Programme\Google
2008-04-15 07:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-14 21:23 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Shareaza
2008-04-14 20:23 18,858 ----a-w C:\Programme\Gemeinsame Dateien\dujeris.db
2008-04-14 20:23 13,356 ----a-w C:\Programme\Gemeinsame Dateien\eqif._sy
2008-04-14 20:23 10,874 ----a-w C:\Programme\Gemeinsame Dateien\hurozil._sy
2008-04-04 10:34 --------- d-----w C:\Programme\Lavasoft
2008-04-04 10:34 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Lavasoft
2008-03-31 15:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-12 13:24 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-03-12 13:24 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
2008-03-09 19:23 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\teamspeak2
2008-03-03 16:45 79,875 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-03-03 16:45 258,051 ----a-w C:\WINDOWS\SETUP1.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 16143872 C:\WINDOWS\RTHDCPL.exe]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 15:00]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 16:01]
R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 14:47]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2008-03-31 17:30]
R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2003-08-29 13:51]
R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2002-12-13 18:33]
S3 se46bus;Sony Ericsson Device 070 driver (WDM);C:\WINDOWS\system32\DRIVERS\se46bus.sys [2006-11-30 15:11]
S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se46mdfl.sys [2006-11-30 15:11]
S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se46mdm.sys [2006-11-30 15:11]
S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se46mgmt.sys [2006-11-30 15:11]
S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se46nd5.sys [2006-11-30 15:11]
S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se46obex.sys [2006-11-30 15:11]
S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se46unic.sys [2006-11-30 15:11]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\X]
\Shell\AutoRun\command - X:\start.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-15 08:34:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2008-04-15 07:16:04 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 10:31:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-15 10:36:32 - machine was rebooted [user]
ComboFix-quarantined-files.txt 2008-04-15 08:36:28

10 Verzeichnis(se), 95,997,132,800 Bytes frei
14 Verzeichnis(se), 96,113,364,992 Bytes frei
.
2008-04-12 17:27:36 --- E O F ---

danke schon im vorraus nochmal

mfg denny

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

File::

C:\WINDOWS\system32\dllcache\beep.sys

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lekoqet.vbs

C:\Dokumente und Einstellungen\user\Anwendungsdaten\ximotyxu.bin

C:\WINDOWS\system32\yzub.ban

C:\WINDOWS\evacawe.dat

C:\Programme\Gemeinsame Dateien\morykawoj.pif

C:\WINDOWS\kewu.dl

C:\WINDOWS\igucyn.vbs

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynyfir.bin

C:\WINDOWS\nevydimu.exe

C:\WINDOWS\uxyhemijy.exe

C:\Dokumente und Einstellungen\user\Anwendungsdaten\pomimofy.bat

C:\WINDOWS\atexivaqi.lib

C:\WINDOWS\ujuwazera.sys

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ojugyxo.bat

C:\WINDOWS\system32\uqewi.com

C:\WINDOWS\cacir.reg

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hevysusa.com

C:\WINDOWS\system32\vakenedysa.bat

C:\WINDOWS\ikepudo._sy

C:\Dokumente und Einstellungen\user\Anwendungsdaten\xycabucis.bin

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jykarugage.sys

C:\WINDOWS\caqymid.sys

C:\WINDOWS\ozarytob.bin

C:\WINDOWS\myboqyzify.ban

C:\Programme\Gemeinsame Dateien\dujeris.db

C:\Programme\Gemeinsame Dateien\eqif._sy

C:\Programme\Gemeinsame Dateien\hurozil._sy

C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf

C:\WINDOWS\ST6UNST.EXE

C:\WINDOWS\SETUP1.EXE
 

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\X]

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Deinstalliere P2P Anwendungen, wie z.B. das im Log schon aufgetauchte Shareaza.

Prüfe im Sicherheitscenter ( Start / Einstellungen / Systemsteuerung / Sicherheitscenter) ob Dein AV und Firewall Programm aktiviert sind und wenn nicht, ob Du Sie nun wieder aktivieren kannst.

so alles gemacht wie du geschrieben hast. hier ist der eintrag

ComboFix 08-04-14.2 - user 2008-04-15 11:33:46.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.519 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\user\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hevysusa.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jykarugage.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lekoqet.vbs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ojugyxo.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynyfir.bin
C:\Dokumente und Einstellungen\user\Anwendungsdaten\pomimofy.bat
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ximotyxu.bin
C:\Dokumente und Einstellungen\user\Anwendungsdaten\xycabucis.bin
C:\Programme\Gemeinsame Dateien\dujeris.db
C:\Programme\Gemeinsame Dateien\eqif._sy
C:\Programme\Gemeinsame Dateien\hurozil._sy
C:\Programme\Gemeinsame Dateien\morykawoj.pif
C:\WINDOWS\atexivaqi.lib
C:\WINDOWS\cacir.reg
C:\WINDOWS\caqymid.sys
C:\WINDOWS\evacawe.dat
C:\WINDOWS\igucyn.vbs
C:\WINDOWS\ikepudo._sy
C:\WINDOWS\kewu.dl
C:\WINDOWS\myboqyzify.ban
C:\WINDOWS\nevydimu.exe
C:\WINDOWS\ozarytob.bin
C:\WINDOWS\SETUP1.EXE
C:\WINDOWS\ST6UNST.EXE
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
C:\WINDOWS\system32\uqewi.com
C:\WINDOWS\system32\vakenedysa.bat
C:\WINDOWS\system32\yzub.ban
C:\WINDOWS\ujuwazera.sys
C:\WINDOWS\uxyhemijy.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hevysusa.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jykarugage.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lekoqet.vbs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ojugyxo.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynyfir.bin
C:\Dokumente und Einstellungen\user\Anwendungsdaten\pomimofy.bat
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ximotyxu.bin
C:\Dokumente und Einstellungen\user\Anwendungsdaten\xycabucis.bin
C:\Programme\Gemeinsame Dateien\dujeris.db
C:\Programme\Gemeinsame Dateien\eqif._sy
C:\Programme\Gemeinsame Dateien\hurozil._sy
C:\Programme\Gemeinsame Dateien\morykawoj.pif
C:\WINDOWS\atexivaqi.lib
C:\WINDOWS\cacir.reg
C:\WINDOWS\caqymid.sys
C:\WINDOWS\evacawe.dat
C:\WINDOWS\igucyn.vbs
C:\WINDOWS\ikepudo._sy
C:\WINDOWS\kewu.dl
C:\WINDOWS\myboqyzify.ban
C:\WINDOWS\nevydimu.exe
C:\WINDOWS\ozarytob.bin
C:\WINDOWS\SETUP1.EXE
C:\WINDOWS\ST6UNST.EXE
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
C:\WINDOWS\system32\uqewi.com
C:\WINDOWS\system32\vakenedysa.bat
C:\WINDOWS\system32\yzub.ban
C:\WINDOWS\ujuwazera.sys
C:\WINDOWS\uxyhemijy.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-15 bis 2008-04-15 ))))))))))))))))))))))))))))))
.

2008-04-15 09:48 . 2007-03-09 00:02 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-15 09:48 . 2007-03-09 00:02 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-15 09:43 . 2008-04-15 09:43 <DIR> d-------- C:\Programme\Zone Labs
2008-04-15 09:18 . 2008-04-15 09:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-15 09:16 . 2008-04-15 09:36 <DIR> d-------- C:\Programme\Norton Security Scan
2008-04-15 09:04 . 2008-04-15 09:11 <DIR> d-------- C:\Programme\Registry Easy
2008-04-15 08:45 . 2008-04-15 08:45 4,060 --a------ C:\hijackthis.log neu
2008-04-15 00:13 . 2008-04-15 00:13 396,288 --a------ C:\trojaner.exe
2008-04-14 22:39 . 2008-04-15 09:34 <DIR> d-------- C:\Programme\a-squared Free
2008-04-14 22:29 . 2008-04-14 22:29 84 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-04-14 22:28 . 2008-04-15 09:14 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-10 12:05 . 2008-04-10 12:05 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-04-09 13:41 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-04-09 13:38 . 2007-02-03 10:25 1,075,360 --a------ C:\WINDOWS\system32\drivers\Camdrl.sys
2008-04-09 13:38 . 2007-02-03 10:32 527,136 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-09 13:38 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system\msvcr71.dll
2008-04-09 13:38 . 2007-02-03 10:29 264,992 --a------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-09 13:38 . 2007-02-03 10:32 215,840 --a------ C:\WINDOWS\system32\LVUI2.dll
2008-04-09 13:38 . 2007-02-03 10:26 154,400 --a------ C:\WINDOWS\system\CamExL20.dll
2008-04-09 13:38 . 2007-02-03 10:29 129,824 --a------ C:\WINDOWS\system32\lvci1051.dll
2008-04-09 13:38 . 2007-02-03 10:25 117,536 --a------ C:\WINDOWS\system\CamExL20.ax
2008-04-09 13:38 . 2007-02-03 08:59 50,127 --a------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-09 13:38 . 2007-02-03 10:32 41,504 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-09 13:38 . 2007-02-03 09:01 13,398 --a------ C:\WINDOWS\system32\Repository.reg
2008-04-09 13:37 . 2008-04-09 13:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LogiShrd
2008-04-09 13:37 . 2008-04-09 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-09 13:37 . 2008-04-09 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logishrd
2008-04-09 13:36 . 2008-04-09 13:37 <DIR> d-------- C:\Programme\Logitech
2008-04-09 13:22 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-04-09 13:22 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-04-04 12:33 . 2008-04-04 12:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-04 12:33 . 2008-04-04 12:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-31 18:39 . 2008-03-31 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\DATABECKER
2008-03-31 17:30 . 2008-03-31 17:30 81,408 --a------ C:\WINDOWS\system32\drivers\SSHDRV86.sys
2008-03-31 17:18 . 2008-03-31 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Warenwirtschaft
2008-03-31 17:18 . 2008-03-31 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Software FX Shared
2008-03-31 17:18 . 2001-06-20 22:50 1,585,152 --a------ C:\WINDOWS\system32\ACTRPT2.DLL
2008-03-31 17:17 . 2008-03-31 17:20 <DIR> d-------- C:\Programme\DATA BECKER
2008-03-27 13:19 . 2008-03-27 13:20 <DIR> d-------- C:\Programme\Windows Live
2008-03-27 13:19 . 2008-03-27 13:20 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-27 13:19 . 2008-03-27 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-24 22:39 . 2007-03-12 17:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-03-24 22:39 . 2007-03-12 17:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-03-24 22:39 . 2007-03-15 17:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-03-24 22:39 . 2007-04-04 19:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-03-24 22:39 . 2007-04-04 19:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-03-24 22:39 . 2007-03-05 13:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-03-24 22:24 . 2008-03-24 22:24 <DIR> d-------- C:\Programme\THQ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 08:22 --------- d-----w C:\Programme\Google
2008-04-15 07:35 29,008 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2008_04_15_08_05_49_small.dmp.zip
2008-04-15 07:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-15 06:04 27,797 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2008_04_15_00_58_05_small.dmp.zip
2008-04-14 22:56 29,481 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2008_04_14_23_33_57_small.dmp.zip
2008-04-14 22:56 28,674 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2008_04_14_23_41_02_small.dmp.zip
2008-04-14 22:56 28,540 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2008_04_14_23_29_17_small.dmp.zip
2008-04-14 21:23 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Shareaza
2008-04-04 10:34 --------- d-----w C:\Programme\Lavasoft
2008-04-04 10:34 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Lavasoft
2008-03-31 15:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-09 19:23 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\teamspeak2
2008-03-03 16:45 89,360 ----a-w C:\WINDOWS\system32\VB5DB.DLL
2008-03-03 16:45 6,656 ----a-w C:\WINDOWS\system32\STDFTDE.DLL
2008-03-03 16:45 430,080 ----a-w C:\WINDOWS\system32\MsRepl35.dll
2008-03-03 16:45 34,816 ----a-w C:\WINDOWS\system32\MCIDE.DLL
2008-03-03 16:45 33,792 ----a-w C:\WINDOWS\system32\CMDLGDE.DLL
2008-03-03 16:45 262,144 ----a-w C:\WINDOWS\system32\msrd2x35.dll
2008-03-03 16:45 24,848 ----a-w C:\WINDOWS\system32\msjter35.dll
2008-03-03 16:45 123,664 ----a-w C:\WINDOWS\system32\Msjint35.dll
2008-03-03 16:45 101,888 ----a-w C:\WINDOWS\system32\VB6STKIT.DLL
2008-03-03 16:45 1,050,896 ----a-w C:\WINDOWS\system32\MSJet35.dll
2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-02-25 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 09:30 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-04-15_10.36.15.75 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-15 08:30:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-15 08:50:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2006-10-28 01:03:16 833,520 ----a-w C:\WINDOWS\system32\ZoneLabs\updating.dll
+ 2008-04-15 08:46:42 833,248 ----a-w C:\WINDOWS\system32\ZoneLabs\updating.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 16143872 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 15:00]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 16:01]
R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 14:47]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2008-03-31 17:30]
R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2003-08-29 13:51]
R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2002-12-13 18:33]
S3 se46bus;Sony Ericsson Device 070 driver (WDM);C:\WINDOWS\system32\DRIVERS\se46bus.sys [2006-11-30 15:11]
S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se46mdfl.sys [2006-11-30 15:11]
S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se46mdm.sys [2006-11-30 15:11]
S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se46mgmt.sys [2006-11-30 15:11]
S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se46nd5.sys [2006-11-30 15:11]
S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se46obex.sys [2006-11-30 15:11]
S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se46unic.sys [2006-11-30 15:11]

.
Inhalt des "geplante Tasks" Ordners
"2008-04-15 08:53:58 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2008-04-15 07:16:04 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 11:36:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-15 11:38:28
ComboFix-quarantined-files.txt 2008-04-15 09:37:25
ComboFix2.txt 2008-04-15 08:36:33

10 Verzeichnis(se), 96,066,502,656 Bytes frei
14 Verzeichnis(se), 96,052,531,200 Bytes frei
.
2008-04-12 17:27:36 --- E O F ---

Zitat:

so alles gemacht wie du geschrieben hast. hier ist der eintrag

Sieht schon passend aus, prüfe nun die Einstellung in dem Sicherheitscenter.
Was ist Shareaza und ähnlich gelagerter Software? Mein Rat = Deinstallieren.

Bitte jetzt dieses Programm durchlaufen lassen und das Log hier posten.

hier das ergebniss

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 631

Scan Art: Schnell Scan
Objekte gescannt: 32110
Scan Dauer: 4 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

hast du noch ein tip für ein gutes überwachungsprogramm? firewall und antiviren.....

vielen dank nochmal für die hilfe, hast mir echt geholfen. finde ich klasse das es euch gibt

mfg denny

Zitat:

hast du noch ein tip für ein gutes überwachungsprogramm? firewall und antiviren.....

Also der Spyware Doctor ist es nicht. Kostenfreie Software ist z.B. Avira oder Bitdefender.
Diese beiden sind recht schlank, fix und doch gut.
Eine Personal Firewall brauchst Du nicht. Wenn was auf den Rechner will, oder halt raus, hilft keine solche.
Und eigentlich hilft eh nur das.;)

hehe der ist gut:D

ich danke dir für alles, bin wieder glücklich

freu, freu....danke vielmals

mfg denny