Trojaner-Board - Yur Privacy is inanger

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Yur Privacy is inanger - Was tun? (https://www.trojaner-board.de/55701-yur-privacy-is-inanger-tun.html)

Die erste Datei kann ich nicht finden. Lasse mir bereits die versteckten dateien anzeigen

Code:

Datei zopsty.dll empfangen 2008.07.11 18:01:45 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 4/33 (12.13%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: ___.

Geschätzte Startzeit is zwischen ___ und ___ .

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.7.11.0 2008.07.11 - 

AntiVir 7.8.0.64 2008.07.11 - 

Authentium 5.1.0.4 2008.07.10 - 

Avast 4.8.1195.0 2008.07.11 - 

AVG 7.5.0.516 2008.07.11 - 

BitDefender 7.2 2008.07.11 - 

CAT-QuickHeal 9.50 2008.07.11 - 

ClamAV 0.93.1 2008.07.11 - 

DrWeb 4.44.0.09170 2008.07.11 - 

eSafe 7.0.17.0 2008.07.10 Suspicious File 

eTrust-Vet 31.6.5947 2008.07.11 - 

Ewido 4.0 2008.07.11 - 

F-Prot 4.4.4.56 2008.07.10 - 

F-Secure 7.60.13501.0 2008.07.10 - 

Fortinet 3.14.0.0 2008.07.11 - 

GData 2.0.7306.1023 2008.07.11 - 

Ikarus T3.1.1.26.0 2008.07.11 - 

Kaspersky 7.0.0.125 2008.07.11 - 

McAfee 5336 2008.07.10 - 

Microsoft 1.3704 2008.07.11 - 

NOD32v2 3262 2008.07.11 - 

Norman 5.80.02 2008.07.11 - 

Panda 9.0.0.4 2008.07.11 - 

Prevx1 V2 2008.07.11 Cloaked Malware 

Rising 20.52.41.00 2008.07.11 - 

Sophos 4.31.0 2008.07.11 - 

Sunbelt 3.1.1509.1 2008.07.04 - 

Symantec 10 2008.07.11 Trojan.Metajuan 

TheHacker 6.2.96.376 2008.07.10 - 

TrendMicro 8.700.0.1004 2008.07.11 - 

VBA32 3.12.6.9 2008.07.11 - 

VirusBuster 4.5.11.0 2008.07.11 - 

Webwasher-Gateway 6.6.2 2008.07.11 Win32.Malware.gen!80 (suspicious) 

weitere Informationen 

File size: 116352 bytes 

MD5...: a38b2cee8765036c5ecc53d4d09ddeaf 

SHA1..: 2ea071a90e44f40a19145b9afb796569bb06a06e 

SHA256: a7b692a231270744865ce1f179000ca9e20b36f0355c193065e00d32d771cc39 

SHA512: e7d0d9fd9f70a1c41017000dad8553206158ed1d297b2ef515849cbe1badf146

9cfb6c8c76139d9063cda736290cfe01da36d7a3924acd7f17d7c3d1af8d8442 

PEiD..: Armadillo v1.xx - v2.xx 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x10001697

timedatestamp.....: 0x4863db34 (Thu Jun 26 18:08:52 2008)

machinetype.......: 0x14c (I386)
 

( 7 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x3000 0x3000 4.45 88223eecd01ac8b5aa1b1e002b9f9b3f

CRT 0x4000 0x1000 0x400 3.36 28ae831656f3105d4b4efa666fd9c646

.rdata 0x5000 0x2000 0x2000 7.98 7ef680e06c39197afa374118e55ac60e

.rdata 0x7000 0x4000 0x3c00 7.99 90ed40be58629ab12b794b24fa81749f

DATA 0xb000 0x1000 0xa00 7.92 1aba9936e10b34e4e0847bd2c5006048

.code 0xc000 0x4000 0x3600 7.99 d0ddb4827cf42ae4d561b007bad162a2

.bss 0x10000 0x25000 0xd880 7.99 25d02a698ea219e5d9dea05953e37137
 

( 1 imports ) 

> user32.dll: CopyIcon, DestroyIcon, GetDesktopWindow, LoadIconA, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage
 

( 0 exports ) 

 

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BEC13523809FFA0FC60301FAA08144006DE94B78 
 
 

 ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Code:

Datei SILEX_SCREENSAVER.SCR empfangen 2008.07.11 18:09:39 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 0/33 (0%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: ___.

Geschätzte Startzeit is zwischen ___ und ___ .

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.7.11.0 2008.07.11 - 

AntiVir 7.8.0.64 2008.07.11 - 

Authentium 5.1.0.4 2008.07.10 - 

Avast 4.8.1195.0 2008.07.11 - 

AVG 7.5.0.516 2008.07.11 - 

BitDefender 7.2 2008.07.11 - 

CAT-QuickHeal 9.50 2008.07.11 - 

ClamAV 0.93.1 2008.07.11 - 

DrWeb 4.44.0.09170 2008.07.11 - 

eSafe 7.0.17.0 2008.07.10 - 

eTrust-Vet 31.6.5947 2008.07.11 - 

Ewido 4.0 2008.07.11 - 

F-Prot 4.4.4.56 2008.07.10 - 

F-Secure 7.60.13501.0 2008.07.10 - 

Fortinet 3.14.0.0 2008.07.11 - 

GData 2.0.7306.1023 2008.07.11 - 

Ikarus T3.1.1.26.0 2008.07.11 - 

Kaspersky 7.0.0.125 2008.07.11 - 

McAfee 5336 2008.07.10 - 

Microsoft 1.3704 2008.07.11 - 

NOD32v2 3263 2008.07.11 - 

Norman 5.80.02 2008.07.11 - 

Panda 9.0.0.4 2008.07.11 - 

Prevx1 V2 2008.07.11 - 

Rising 20.52.41.00 2008.07.11 - 

Sophos 4.31.0 2008.07.11 - 

Sunbelt 3.1.1509.1 2008.07.04 - 

Symantec 10 2008.07.11 - 

TheHacker 6.2.96.376 2008.07.10 - 

TrendMicro 8.700.0.1004 2008.07.11 - 

VBA32 3.12.6.9 2008.07.11 - 

VirusBuster 4.5.11.0 2008.07.11 - 

Webwasher-Gateway 6.6.2 2008.07.11 - 

weitere Informationen 

File size: 380928 bytes 

MD5...: 7fe909ed2eae2da0130ea6cfed62446c 

SHA1..: da6de40e8c23a14d7004d0935925c68e5c50864e 

SHA256: 4f49d0f1404f80dd10b7687b7bcc053970c312c73fcd1de5c594d54f0d3b0978 

SHA512: acdbaac30b16bb6312d1625edc99abf093965861c37138b75482f09ab5f3a08d

5a24007c50dcb2061094d20dfd933c3035ce51d02249494e0b7b8d97fe2d5a42 

PEiD..: Armadillo v1.71 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x438eae

timedatestamp.....: 0x396f8653 (Fri Jul 14 21:29:55 2000)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x42908 0x43000 6.56 173ada4f01f58193a86dd32177616f7b

.rdata 0x44000 0x550a 0x6000 4.79 069d1f620b9a9e3cc2f154e1ddc81616

.data 0x4a000 0x13b78 0x5000 3.73 8a9f0c99b5b28603953956e4baec7158

.rsrc 0x5e000 0xdc00 0xe000 5.94 9415a43317f54ff1bb0053841c82d2d3
 

( 10 imports ) 

> COMCTL32.dll: -

> DINPUT.dll: DirectInputCreateA

> DDRAW.dll: DirectDrawEnumerateExA, DirectDrawCreateEx, DirectDrawEnumerateA, DirectDrawCreate

> KERNEL32.dll: CreateThread, GetProcAddress, GetFileAttributesA, LoadResource, CreateFileMappingA, GetLastError, SystemTimeToFileTime, IsBadReadPtr, GetWindowsDirectoryA, LockResource, GetModuleHandleA, lstrlenA, DeleteFileA, GetTickCount, CreateDirectoryA, SetFileTime, GetFileTime, CompareFileTime, ReadFile, SizeofResource, CreateFileA, GetFileSize, SetFilePointer, WriteFile, CloseHandle, GetCurrentDirectoryA, SetCurrentDirectoryA, GetCommandLineA, FindResourceA, UnmapViewOfFile, GetVersionExA, LoadLibraryA, MapViewOfFile, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetModuleFileNameA, UnhandledExceptionFilter, HeapSize, WideCharToMultiByte, GetCurrentProcess, TerminateProcess, HeapReAlloc, RaiseException, HeapFree, HeapAlloc, ExitProcess, GetVersion, GetStartupInfoA, RtlUnwind, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, MultiByteToWideChar, GetStringTypeA, GetStringTypeW, IsBadCodePtr, GetCPInfo, GetACP, GetOEMCP, SetStdHandle, LCMapStringA, LCMapStringW, FlushFileBuffers

> USER32.dll: PeekMessageA, CreateWindowExA, GetWindowRect, DispatchMessageA, SystemParametersInfoA, LoadIconA, ShowWindow, RegisterClassExA, TranslateMessage, GetMessageA, EndDialog, SetCursor, LoadCursorA, PostQuitMessage, DefWindowProcA, MessageBoxA, LoadImageA, DialogBoxParamA, GetForegroundWindow, ValidateRect, GetDC, SendMessageA, SetWindowTextA, GetDlgItem, CheckDlgButton, CreateDialogParamA, GetWindowLongA, UnregisterClassA, GetClassInfoA, RegisterClassA, GetSystemMetrics, DestroyWindow, GetMenu, AdjustWindowRectEx, SetWindowPlacement, GetParent, SetFocus, ClientToScreen, ReleaseDC, DrawTextA, ShowCursor, SetWindowLongA, IsDlgButtonChecked, GetWindowTextA, InvalidateRgn, GetCursorPos, GetClientRect, SetCursorPos, GetWindowPlacement

> GDI32.dll: GetObjectA, StretchBlt, SelectObject, CreateCompatibleDC, CreateSolidBrush, CreateFontA, TextOutA, SetTextColor, SetBkColor, GetDIBColorTable, BitBlt, SetBkMode, GetTextExtentPoint32A, CreateFontIndirectA, GetStockObject, GetPaletteEntries, DeleteObject, DeleteDC

> comdlg32.dll: ChooseColorA

> ADVAPI32.dll: RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA

> WS2_32.dll: -, -, -, -, -, -, -, -, -

> WININET.dll: InternetOpenUrlA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetOpenA, HttpQueryInfoA, InternetReadFile, InternetCloseHandle
 

( 0 exports )

Soll ich jetzt mit Combofix starten?

Lade bitte, sofern sie zu finden sind, nach dieser Anleitung auf unsere Server:

http://www.trojaner-board.de/54791-a...tml#post349565

alles klar. Dateien sind hochgeladen.
Was kommt als nächstes?

Führe das Combofix aus, Anleitung dazu war in meinem letzten Beitrag. ;)

So...
mit Combofix bin ich durch.
Nur nebenbei. Ich weiß nicht ob wir fertig sind jedoch hat sich gerade als ich hier tippe ein Popup geöffnet.

So hier die Log

Code:

ComboFix 08-07-10.2 - Thorsten 2008-07-11 19:59:53.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1381 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Thorsten\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\Downloaded Program Files\setup.inf

C:\WINDOWS\system32\AyHPAJjl.ini

C:\WINDOWS\system32\AyHPAJjl.ini2

C:\WINDOWS\system32\drjdfjvg.dll

C:\WINDOWS\system32\gvjfdjrd.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\pskill.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-06-11 bis 2008-07-11  ))))))))))))))))))))))))))))))

.
 

2008-07-11 15:15 . 2008-07-11 15:15        <DIR>        d--------        C:\Deckard

2008-07-11 14:44 . 2008-07-11 14:44        <DIR>        d--------        C:\Programme\PrevxCSI

2008-07-11 14:44 . 2008-07-11 15:47        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI

2008-07-11 14:44 . 2008-07-11 14:44        17,408        --a------        C:\WINDOWS\system32\drivers\pxark.sys

2008-07-10 21:14 . 2008-07-10 21:14        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-07-10 21:14 . 2008-07-10 21:14        1,409        --a------        C:\WINDOWS\QTFont.for

2008-07-10 20:18 . 2008-07-10 20:18        116,352        --a------        C:\WINDOWS\system32\zopsty.dll

2008-07-10 20:18 . 2008-07-10 20:18        116,352        --a------        C:\WINDOWS\system32\jelfyuon.dll

2008-07-10 20:09 . 2008-07-10 20:09        <DIR>        d--------        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Malwarebytes

2008-07-10 20:09 . 2008-07-10 20:09        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-07-10 20:09 . 2008-07-07 17:35        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-07-10 20:09 . 2008-07-07 17:35        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-07-10 17:55 . 2008-07-10 17:55        <DIR>        d--------        C:\WINDOWS\system32\LogFiles

2008-07-09 20:17 . 2008-07-09 20:17        112,256        --a------        C:\WINDOWS\system32\yspehk.dll

2008-07-09 20:17 . 2008-07-09 20:17        112,256        --a------        C:\WINDOWS\system32\wlfecbig.dll

2008-07-08 19:28 . 2008-07-10 19:56        4,120        --a------        C:\WINDOWS\system32\tmp.reg

2008-07-08 19:16 . 2008-07-08 19:16        <DIR>        d--------        C:\Programme\Trend Micro

2008-07-08 19:13 . 2008-07-10 21:31        318,208        ---------        C:\WINDOWS\system32\ljJAPHyA.dll

2008-07-08 19:12 . 2008-07-08 19:12        <DIR>        d--------        C:\Programme\Creative

2008-07-08 19:12 . 2008-07-08 19:12        <DIR>        d--------        C:\Dell

2008-07-08 19:12 . 2003-03-05 12:19        15,840        ---------        C:\WINDOWS\system32\drivers\PFMODNT.SYS

2008-07-08 18:03 . 2008-07-10 21:31        29,568        ---------        C:\WINDOWS\system32\rqRIaXOE.dll

2008-06-22 17:34 . 2008-06-22 17:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Ulead Systems

2008-06-22 17:32 . 2008-06-22 17:32        <DIR>        d--------        C:\Programme\SmartSound Software

2008-06-22 17:32 . 2008-06-22 17:32        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc

2008-06-22 17:31 . 1998-10-29 16:45        306,688        --a------        C:\WINDOWS\IsUninst.exe

2008-06-22 17:30 . 2008-06-22 17:30        <DIR>        d--------        C:\Programme\Windows Media Components

2008-06-22 17:30 . 2008-06-22 17:30        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Ulead Systems

2008-06-22 17:30 . 2008-06-22 17:33        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems

2008-06-22 17:30 . 2008-06-22 17:30        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield

2008-06-22 17:30 . 2008-06-15 14:30        25        ---h-----        C:\WINDOWS\upcommv8.mtx

2008-06-22 17:25 . 2008-06-22 17:25        <DIR>        d--------        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\vlc

2008-06-22 17:23 . 2008-06-22 17:23        <DIR>        d--------        C:\Programme\KODAK

2008-06-21 17:24 . 2008-07-11 14:38        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-11 17:51        ---------        d-----w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Orbit

2008-07-11 12:38        ---------        d-----w        C:\Programme\Google

2008-07-08 17:12        ---------        d-----w        C:\Programme\Gemeinsame Dateien\InstallShield

2008-07-08 16:14        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2008-07-04 18:07        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-06-22 15:32        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-06-22 15:12        ---------        d-----w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Media Player Classic

2008-06-21 14:17        ---------        d-----w        C:\Programme\Gemeinsame Dateien\TerraTec

2008-06-14 17:57        273,024        ----a-w        C:\WINDOWS\system32\drivers\bthport.sys

2008-05-31 15:29        ---------        d-----w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Command & Conquer 3 Tiberium Wars

2008-05-17 11:00        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodata Limited

2008-05-17 10:57        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Autodata Limited Shared

2008-05-17 10:42        717,296        ----a-w        C:\WINDOWS\system32\drivers\sptd.sys

2008-04-30 16:27        44,239        ----a-w        C:\sound32.dll

2008-04-12 11:46        64,777        ----a-w        C:\WINDOWS\BricoPackUninst.cmd

2008-04-12 11:46        6,120        ----a-w        C:\WINDOWS\BricoPackFoldersDelete.cmd

2007-12-19 18:00        22,328        ----a-w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\PnkBstrK.sys

2007-12-09 17:06        27,140        ----a-w        C:\Dokumente und Einstellungen\Thorsten\TB2Categories000.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0449562c-92c5-478c-9b22-9dea20df05c8}]

2008-07-10 20:18        116352        --a------        C:\WINDOWS\system32\zopsty.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04 139264]

"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 18:36 455968]

"ICQ"="E:\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]

"Nokia.PCSync"="E:\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 18:41 1232896]

"PC Suite Tray"="E:\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-03-28 11:20 1079296]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-21 17:24 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-04-06 15:00 385024]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" [2008-05-14 11:32 1101824]

"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28 49152]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 09:38 241664]

"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]

"Acrobat Assistant 8.0"="E:\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]

"PivotSoftware"="C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 12:17 694008]

"DT GWY"="C:\Programme\Gateway\EzTune\DTHtml.exe" [2007-05-02 17:01 282624]

"UVS10 Preload"="E:\Ulead VideoStudio 10\uvPL.exe" [2006-03-07 03:52 36864]

"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 11:44 16120832 C:\WINDOWS\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-02-28 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 14:11 233472]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm

"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm

"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WinVNC4"=2 (0x2)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"E:\\Orbitdownloader\\orbitdm.exe"=

"E:\\Orbitdownloader\\orbitnet.exe"=

"E:\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"F:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"F:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"F:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"E:\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=

"E:\\TerraTec Home Cinema\\CinergyDvr.exe"=

"E:\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDvrUp_date.exe"=

"E:\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=

"C:\\Dokumente und Einstellungen\\Thorsten\\Eigene Dateien\\ZZZ Kanes Rache\\CryptLoad_1.1.3\\RouterClient.exe"=
 

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-07-11 14:44]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R1 Pivot;Pivot;C:\WINDOWS\system32\drivers\pivot.sys [2007-02-09 12:17]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

R2 CSIScanner;CSIScanner;C:\Programme\PrevxCSI\prevxcsi.exe [2008-07-11 14:44]

R2 Viewpoint Manager Service;Viewpoint Manager Service;C:\Programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 23:38]

R3 TTCinergyT2;TerraTec Cinergy T² (BDA);C:\WINDOWS\system32\DRIVERS\TTCinergyT2BDA.sys [2007-07-12 21:38]

S3 AIDA32Driver;AIDA32Driver;J:\AIDA32\AIDA32.sys []

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 15:17]

S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2008-02-01 15:17]

S3 pivotmou;Pivot Mouse/Pointers Filter Driver;C:\WINDOWS\system32\drivers\pivotmou.sys [2007-02-09 12:17]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93ff5a78-5d36-11dc-aff1-806d6172696f}]

\Shell\AutoRun\command - D:\Setup.exe
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

.

Inhalt des "geplante Tasks" Ordners

"2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"

- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe

.

- - - - ORPHANS REMOVED - - - -
 

BHO-{24A63CCA-4F35-4CCB-AD66-EBEC3ADD59E4} - radioiehelper.dll

Toolbar-{0F08F55E-A4D7-4D3A-8264-8F85008100C2} - radiojockeyorg.dll

HKCU-Run-RadioJockey.NET - recctrl2.exe

HKLM-Run-POINTER - point32.exe

HKLM-Run-RAM_DEFRAG - (no file)
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-11 20:03:09

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

E:\Avast4\aswUpdSv.exe

E:\Avast4\ashServ.exe

C:\WINDOWS\system32\cmd.exe

C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe

C:\Programme\FolderSize\FolderSizeSvc.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Programme\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Portrait Displays\Pivot Software\Floater.exe

C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe

E:\Avast4\ashMaiSv.exe

E:\Avast4\ashWebSv.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-07-11 20:08:19 - machine was rebooted

ComboFix-quarantined-files.txt  2008-07-11 18:07:50
 

              11 Verzeichnis(se), 64,587,345,920 Bytes frei

              14 Verzeichnis(se), 64,512,385,024 Bytes frei
 

203        --- E O F ---        2008-06-26 19:23:11

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:



Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0449562c-92c5-478c-9b22-9dea20df05c8}]
 
 

FILE::

C:\WINDOWS\system32\zopsty.dll

C:\WINDOWS\system32\jelfyuon.dll

C:\WINDOWS\system32\yspehk.dll

C:\WINDOWS\system32\wlfecbig.dll

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\ljJAPHyA.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Log

Code:

ComboFix 08-07-10.2 - Thorsten 2008-07-12 14:30:33.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1473 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Thorsten\Desktop\ComboFix.exe

Command switches used :: C:\Dokumente und Einstellungen\Thorsten\Desktop\cfscript.txt

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
 

FILE ::

C:\WINDOWS\system32\jelfyuon.dll

C:\WINDOWS\system32\ljJAPHyA.dll

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\wlfecbig.dll

C:\WINDOWS\system32\yspehk.dll

C:\WINDOWS\system32\zopsty.dll

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\jelfyuon.dll

C:\WINDOWS\system32\ljJAPHyA.dll

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\wlfecbig.dll

C:\WINDOWS\system32\yspehk.dll

C:\WINDOWS\system32\zopsty.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-06-12 bis 2008-07-12  ))))))))))))))))))))))))))))))

.
 

2008-07-11 15:15 . 2008-07-11 15:15        <DIR>        d--------        C:\Deckard

2008-07-10 21:14 . 2008-07-10 21:14        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-07-10 21:14 . 2008-07-10 21:14        1,409        --a------        C:\WINDOWS\QTFont.for

2008-07-10 20:09 . 2008-07-10 20:09        <DIR>        d--------        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Malwarebytes

2008-07-10 20:09 . 2008-07-10 20:09        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-07-10 20:09 . 2008-07-07 17:35        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-07-10 20:09 . 2008-07-07 17:35        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-07-10 17:55 . 2008-07-10 17:55        <DIR>        d--------        C:\WINDOWS\system32\LogFiles

2008-07-08 19:16 . 2008-07-08 19:16        <DIR>        d--------        C:\Programme\Trend Micro

2008-07-08 19:12 . 2008-07-08 19:12        <DIR>        d--------        C:\Programme\Creative

2008-07-08 19:12 . 2008-07-08 19:12        <DIR>        d--------        C:\Dell

2008-07-08 19:12 . 2003-03-05 12:19        15,840        ---------        C:\WINDOWS\system32\drivers\PFMODNT.SYS

2008-07-08 18:03 . 2008-07-10 21:31        29,568        ---------        C:\WINDOWS\system32\rqRIaXOE.dll

2008-06-22 17:34 . 2008-06-22 17:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Ulead Systems

2008-06-22 17:32 . 2008-06-22 17:32        <DIR>        d--------        C:\Programme\SmartSound Software

2008-06-22 17:32 . 2008-06-22 17:32        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc

2008-06-22 17:31 . 1998-10-29 16:45        306,688        --a------        C:\WINDOWS\IsUninst.exe

2008-06-22 17:30 . 2008-06-22 17:30        <DIR>        d--------        C:\Programme\Windows Media Components

2008-06-22 17:30 . 2008-06-22 17:30        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Ulead Systems

2008-06-22 17:30 . 2008-06-22 17:33        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems

2008-06-22 17:30 . 2008-06-22 17:30        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield

2008-06-22 17:30 . 2008-06-15 14:30        25        ---h-----        C:\WINDOWS\upcommv8.mtx

2008-06-22 17:25 . 2008-06-22 17:25        <DIR>        d--------        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\vlc

2008-06-22 17:23 . 2008-06-22 17:23        <DIR>        d--------        C:\Programme\KODAK

2008-06-21 17:24 . 2008-07-11 14:38        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-12 12:29        ---------        d-----w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Orbit

2008-07-11 20:14        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-07-11 12:38        ---------        d-----w        C:\Programme\Google

2008-07-08 17:12        ---------        d-----w        C:\Programme\Gemeinsame Dateien\InstallShield

2008-07-08 16:14        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2008-06-22 15:32        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-06-22 15:12        ---------        d-----w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Media Player Classic

2008-06-21 14:17        ---------        d-----w        C:\Programme\Gemeinsame Dateien\TerraTec

2008-06-14 17:57        273,024        ----a-w        C:\WINDOWS\system32\drivers\bthport.sys

2008-05-31 15:29        ---------        d-----w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Command & Conquer 3 Tiberium Wars

2008-05-17 11:00        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodata Limited

2008-05-17 10:57        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Autodata Limited Shared

2008-05-17 10:42        717,296        ----a-w        C:\WINDOWS\system32\drivers\sptd.sys

2008-05-07 05:14        1,293,312        ----a-w        C:\WINDOWS\system32\quartz.dll

2008-04-30 16:27        44,239        ----a-w        C:\sound32.dll

2008-04-23 04:16        826,368        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-04-12 11:46        64,777        ----a-w        C:\WINDOWS\BricoPackUninst.cmd

2008-04-12 11:46        6,120        ----a-w        C:\WINDOWS\BricoPackFoldersDelete.cmd

2007-12-19 18:00        22,328        ----a-w        C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\PnkBstrK.sys

2007-12-09 17:06        27,140        ----a-w        C:\Dokumente und Einstellungen\Thorsten\TB2Categories000.dat

.
 

(((((((((((((((((((((((((((((   snapshot@2008-07-11_20.07.38.51   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-07-11 18:02:18        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

+ 2008-07-12 12:17:59        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

- 2008-06-23 17:15:27        593,920        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\accicons.exe

+ 2008-07-11 20:14:55        593,920        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\accicons.exe

- 2008-06-23 17:15:27        12,288        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\cagicon.exe

+ 2008-07-11 20:14:55        12,288        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\cagicon.exe

- 2008-06-23 17:15:27        86,016        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\inficon.exe

+ 2008-07-11 20:14:55        86,016        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\inficon.exe

- 2008-06-23 17:15:27        135,168        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\misc.exe

+ 2008-07-11 20:14:55        135,168        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\misc.exe

- 2008-06-23 17:15:27        11,264        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\mspicons.exe

+ 2008-07-11 20:14:55        11,264        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\mspicons.exe

- 2008-06-23 17:15:27        27,136        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\oisicon.exe

+ 2008-07-11 20:14:55        27,136        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\oisicon.exe

- 2008-06-23 17:15:27        4,096        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\opwicon.exe

+ 2008-07-11 20:14:55        4,096        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\opwicon.exe

- 2008-06-23 17:15:27        794,624        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe

+ 2008-07-11 20:14:55        794,624        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe

- 2008-06-23 17:15:27        249,856        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pptico.exe

+ 2008-07-11 20:14:55        249,856        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pptico.exe

- 2008-06-23 17:15:27        61,440        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pubs.exe

+ 2008-07-11 20:14:55        61,440        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pubs.exe

- 2008-06-23 17:15:27        23,040        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\unbndico.exe

+ 2008-07-11 20:14:55        23,040        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\unbndico.exe

- 2008-06-23 17:15:27        286,720        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\wordicon.exe

+ 2008-07-11 20:14:55        286,720        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\wordicon.exe

- 2008-06-23 17:15:26        409,600        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\xlicons.exe

+ 2008-07-11 20:14:55        409,600        ----a-r        C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\xlicons.exe

- 2008-05-26 18:46:48        1,165,584        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe

+ 2008-07-11 20:14:31        1,165,584        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe

- 2008-05-26 18:46:48        20,240        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe

+ 2008-07-11 20:14:31        20,240        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe

- 2008-05-26 18:46:48        159,504        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe

+ 2008-07-11 20:14:31        159,504        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe

- 2008-05-26 18:46:48        184,080        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe

+ 2008-07-11 20:14:31        184,080        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe

- 2008-05-26 18:46:48        217,864        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe

+ 2008-07-11 20:14:31        217,864        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe

- 2008-05-26 18:46:48        18,704        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe

+ 2008-07-11 20:14:31        18,704        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe

- 2008-05-26 18:46:48        35,088        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe

+ 2008-07-11 20:14:31        35,088        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe

- 2008-05-26 18:46:48        845,584        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe

+ 2008-07-11 20:14:31        845,584        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe

- 2008-05-26 18:46:48        922,384        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe

+ 2008-07-11 20:14:31        922,384        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe

- 2008-05-26 18:46:48        272,648        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe

+ 2008-07-11 20:14:31        272,648        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe

- 2008-05-26 18:46:48        888,080        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe

+ 2008-07-11 20:14:31        888,080        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe

- 2008-05-26 18:46:48        1,172,240        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe

+ 2008-07-11 20:14:31        1,172,240        ----a-r        C:\WINDOWS\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe

- 2008-07-11 12:26:24        77,908        ----a-w        C:\WINDOWS\system32\perfc007.dat

+ 2008-07-12 12:23:17        77,908        ----a-w        C:\WINDOWS\system32\perfc007.dat

- 2008-07-11 12:26:24        64,314        ----a-w        C:\WINDOWS\system32\perfc009.dat

+ 2008-07-12 12:23:17        64,314        ----a-w        C:\WINDOWS\system32\perfc009.dat

- 2008-07-11 12:26:24        424,782        ----a-w        C:\WINDOWS\system32\perfh007.dat

+ 2008-07-12 12:23:17        424,782        ----a-w        C:\WINDOWS\system32\perfh007.dat

- 2008-07-11 12:26:24        408,792        ----a-w        C:\WINDOWS\system32\perfh009.dat

+ 2008-07-12 12:23:17        408,792        ----a-w        C:\WINDOWS\system32\perfh009.dat

+ 2008-07-12 12:18:17        16,384        ----atw        C:\WINDOWS\Temp\Perflib_Perfdata_780.dat

+ 2008-07-12 12:29:52        16,384        ----atw        C:\WINDOWS\Temp\Perflib_Perfdata_a04.dat

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04 139264]

"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 18:36 455968]

"ICQ"="E:\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]

"Nokia.PCSync"="E:\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 18:41 1232896]

"PC Suite Tray"="E:\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-03-28 11:20 1079296]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-21 17:24 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-04-06 15:00 385024]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" [2008-05-14 11:32 1101824]

"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28 49152]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 09:38 241664]

"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]

"Acrobat Assistant 8.0"="E:\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]

"PivotSoftware"="C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 12:17 694008]

"DT GWY"="C:\Programme\Gateway\EzTune\DTHtml.exe" [2007-05-02 17:01 282624]

"UVS10 Preload"="E:\Ulead VideoStudio 10\uvPL.exe" [2006-03-07 03:52 36864]

"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 11:44 16120832 C:\WINDOWS\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-02-28 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]

"RAM_DEFRAG"="" [BU]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 05:19:24 237568]

Orbit.lnk - E:\Orbitdownloader\orbitdm.exe [2008-03-21 14:29:59 1690824]

Windows Desktop Search.lnk - C:\Programme\Windows Desktop Search\WindowsSearch.exe [2006-03-26 23:44:08 257752]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 14:11 233472]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm

"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm

"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WinVNC4"=2 (0x2)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"E:\\Orbitdownloader\\orbitdm.exe"=

"E:\\Orbitdownloader\\orbitnet.exe"=

"E:\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"F:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"F:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"F:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"E:\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=

"E:\\TerraTec Home Cinema\\CinergyDvr.exe"=

"E:\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDvrUp_date.exe"=

"E:\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=

"C:\\Dokumente und Einstellungen\\Thorsten\\Eigene Dateien\\ZZZ Kanes Rache\\CryptLoad_1.1.3\\RouterClient.exe"=
 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R1 Pivot;Pivot;C:\WINDOWS\system32\drivers\pivot.sys [2007-02-09 12:17]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

R2 Viewpoint Manager Service;Viewpoint Manager Service;C:\Programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 23:38]

R3 TTCinergyT2;TerraTec Cinergy T² (BDA);C:\WINDOWS\system32\DRIVERS\TTCinergyT2BDA.sys [2007-07-12 21:38]

S3 AIDA32Driver;AIDA32Driver;J:\AIDA32\AIDA32.sys []

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 15:17]

S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2008-02-01 15:17]

S3 pivotmou;Pivot Mouse/Pointers Filter Driver;C:\WINDOWS\system32\drivers\pivotmou.sys [2007-02-09 12:17]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93ff5a78-5d36-11dc-aff1-806d6172696f}]

\Shell\AutoRun\command - D:\Setup.exe
 

*Newly Created Service* - CATCHME
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

.

Inhalt des "geplante Tasks" Ordners

"2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"

- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-12 14:31:56

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-07-12 14:32:57

ComboFix-quarantined-files.txt  2008-07-12 12:32:41

ComboFix2.txt  2008-07-11 18:08:20
 

              11 Verzeichnis(se), 62,568,173,568 Bytes frei

              14 Verzeichnis(se), 62,564,663,296 Bytes frei
 

236        --- E O F ---        2008-07-11 20:14:56

fixnavi

Code:

Search Navipromo version 3.6.0 began on 12.07.2008 at 14:37:22,45
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Actual User Account : "Thorsten" 
 

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO
 
 

Microsoft Windows XP [Version 5.1.2600]

Version Internet Explorer : 7.0.5730.11

Filesystem type : NTFS
 

Search done in normal mode
 

*** Searching for installed Software ***
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Thorsten\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Thorsten\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Thorsten\startm~1\progra~1" *** 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 

No file found
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\Thorsten\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\Thorsten\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 12.07.2008 at 14:39:11,46 ***

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Gibt es denn noch Probleme mit dem System?

Zurzeit kann ich keine Probleme feststellen.
Falls noch etwas auftritt melde ich mich nochmal.

Erstmal vielen vielen Dank. Finde das echt beachtlich was Du machst.

Falls du noch einen Software Tipp für mich hast damit ich mein System ein bischen sauberer und ordentlicher bekomme, wäre ich dir sehr dankbar.
Auch für eine gute Firewall falls erforderlich oder sonstige Sachen die man so braucht bin ich jederzeit offen.

Nochmals vielen Dank

Es gibt sicherlich einiges was mach zu beachten hat, auch wenn mich Firewall und Antivirensoftware nicht gerade beeindrucken (daher habe ich auch keine installiert. ;) ), solltest du folgendes beachten:

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Generell gilt:
Halte immer alle Anwenung auf einem akutellem Stand und achte darauf was du im Netz herunterlädst oder anklickst.