Trojaner-Board - Virus Alert neben der Uhr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus Alert neben der Uhr (https://www.trojaner-board.de/56161-virus-alert-neben-uhr.html)

Virus Alert neben der Uhr

Hallo,
ich habe das Problem, dass neben der Uhr "Virus Alert" stand und meine lokalen Laufwerke weg sind. Konnte im abgesichterten Modus zwar nach Viren suchen, habe aber nichts gefunden.
Sobald ich regedit eingebe kommt die Meldung: Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert. Die lokalen Laufwerke (Festplatte) sind auch nicht mehr da.

Hier der Log von HiJackThis:

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:43: VIRUS ALERT!, on 17.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LckFldService.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\Programme\Spyware Doctor\sdhelp.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Google\Google Talk\googletalk.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\mpxa.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

H:\HiJackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {34A0D740-47C1-4F63-8E01-F74D4604F3EE} - C:\WINDOWS\system32\awtuvUND.dll (file missing)

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: QXK Olive - {812AE34E-162C-4C94-BAA1-A2C0431AEC84} - C:\WINDOWS\kgxmotapktx.dll

O2 - BHO: (no name) - {8EA86503-476F-476A-A55A-7225082DF3EB} - C:\WINDOWS\system32\wvUoLfda.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: (no name) - {CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013} - C:\WINDOWS\system32\tuvUljhE.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: qndsfmao - {3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D} - C:\WINDOWS\qndsfmao.dll

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SoundMan] REM SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] REM C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [Cmaudio] REM RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] REM C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] REM "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] REM "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [NvCplDaemon] REM RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] REM nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] REM "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [googletalk] C:\Programme\Google\Google Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [Adobe Photo Downloader] REM "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] REM "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [BitTorrent DNA] REM "C:\Programme\DNA\btdna.exe"

O4 - HKCU\..\Run: [mpt] c:\WINDOWS\system32\mpt.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab

O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: tuvUljhE - C:\WINDOWS\SYSTEM32\tuvUljhE.dll

O20 - Winlogon Notify: wvUoLfda - wvUoLfda.dll (file missing)

O21 - SSODL: kvxqmtre - {7B9E4D2F-D4CD-4FD7-933A-5A388967000B} - C:\WINDOWS\kvxqmtre.dll

O21 - SSODL: evgratsm - {5BF48BFA-B9F6-4033-8F05-A69F8A44AA7F} - C:\WINDOWS\evgratsm.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
 

--

End of file - 9626 bytes

Halli hallo dickes.d

:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
XP_ dingens.org
Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP_ Firewall
Vista_ Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest

Häufig gestellte Fragen: XP | Vista

Zitat:

Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert.

Hast du Administrator Rechte am Computer? bzw. Konntest du regedit vor dem Befall immer normal starten?

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

hallo,
danke für die schnelle antwort!

# Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).

- geht nicht, da ich lieber nicht ins netz möchte - software die den virus enthielt versucht das die ganze zeit!
.
# Update der Viren-Signaturen deines Anti-Viren Programmes.

- geht nicht, virenprogramm deinstalliert um das neue (virus!) zu installieren
.
# Treiberupdate der Hardware (Grafikkarte, Soundkarte).

- keine möglichkeit an die systemsteuerung zu kommen.
.
# Windows Update -> Der Frischmacher.

- siehe oben
.
# Vernünftige Ordneransicht -> Einstellungen.

- siehe oben

# Abschalten unnötiger Dienste:
XP_ dingens.org
Vista_ TechNET

- siehe oben

# Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP_ Firewall
Vista_ Firewall

- habe das AV deinstalliert, um das neue (virus, you know) zu installieren
- screenshot von meinem startmenü im anhang

Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest

Oh man.

Dann ziehe dir das Service Pack 3 auf einen USB Stick genauso wie die Testversion von Kaspersky 09 und installiere beide!

dingens.org ebenfalls.

Um die Sysemsteuerung kümmern wir uns danach!

Ok. Back in town.

Zitat:

Zitat von undoreal (Beitrag 355322)

Oh man.

-> I know

Dann ziehe dir das Service Pack 3 auf einen USB Stick genauso wie die Testversion von Kaspersky 09 und installiere beide!

-> beides installiert
-> kaspersky findet viele trojaner, löscht diese auch, problem ist aber nicht behoben.

dingens.org ebenfalls.

-> durchgeführt.

Um die Sysemsteuerung kümmern wir uns danach!

immer wieder danke!

Wechsel in den abgesicherten Modus und führe dort einen Vollscan mit Kaspersky durch.
Lösche alles was gefunden wird.

Starte danach im normalen Modus und scanne mit Combofix, poste das log.

Und poste danach auch ein frisches HJT log.

Ok. Here we go:

ComboFix:

Zitat:

ComboFix 08-07-22.4 - dickes.d 2008-07-23 14:57:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.455 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\dickes.d\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\UUSEE~1.LNK
C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\addon.dat
C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\dickes.d\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\dickes.d\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\dickes.d\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\dickes.d\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\dickes.d\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\dickes.d\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\dickes.d\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\dickes.d\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\Programme\uusee
C:\Programme\uusee\uninst.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\evgratsm.dll
C:\WINDOWS\kgxmotapktx.dll
C:\WINDOWS\kvxqmtre.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\_000013_.tmp.dll
C:\WINDOWS\system32\_000014_.tmp.dll
C:\WINDOWS\system32\_000015_.tmp.dll
C:\WINDOWS\system32\DNUvutwa.ini
C:\WINDOWS\system32\DNUvutwa.ini2
C:\WINDOWS\system32\MSINET.oca

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-23 bis 2008-07-23 ))))))))))))))))))))))))))))))
.

2008-07-23 03:54 . 2008-07-23 03:54 <DIR> d-------- C:\WINDOWS\system32\de
2008-07-23 03:54 . 2008-07-23 03:54 <DIR> d-------- C:\WINDOWS\system32\bits
2008-07-23 03:54 . 2008-07-23 03:54 <DIR> d-------- C:\WINDOWS\l2schemas
2008-07-23 03:33 . 2008-04-13 22:06 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-07-23 03:33 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-07-23 03:28 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\004843_.tmp
2008-07-18 21:27 . 2008-07-18 22:32 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-07-18 21:27 . 2008-07-18 22:32 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-07-18 21:22 . 2008-07-18 21:22 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-07-18 21:22 . 2008-07-23 15:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-18 21:22 . 2008-07-23 15:01 2,713,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-18 21:22 . 2008-07-23 15:01 442,400 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-18 21:22 . 2008-07-23 15:01 24,372 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-18 21:22 . 2008-07-23 15:01 3,640 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-07-17 13:12 . 2008-07-17 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-07-14 21:03 . 2008-07-14 21:03 58,594 --a------ C:\WINDOWS\system32\mpt.exe
2008-07-12 20:44 . 2008-07-12 20:44 18,944 --a------ C:\WINDOWS\system32\mpxa.exe
2008-07-05 13:45 . 2008-07-05 13:45 <DIR> d-------- C:\Programme\Mp3tag
2008-07-05 13:45 . 2008-07-05 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\Mp3tag

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-17 11:54 --------- d-----w C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\BitTorrent
2008-07-17 11:15 --------- d-----w C:\Programme\Norton AntiVirus
2008-07-17 11:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-17 10:54 --------- d-----w C:\Programme\Symantec
2008-07-17 10:47 47,360 ----a-w C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\pcouffin.sys
2008-07-17 10:47 --------- d-----w C:\Programme\DVDFab Platinum 4
2008-07-17 10:47 --------- d-----w C:\Programme\AllToAVI
2008-07-17 10:47 --------- d-----w C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\Vso
2008-07-17 10:46 --------- d-----w C:\Programme\Trillian
2008-07-17 10:46 --------- d-----w C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\Skype
2008-07-16 22:14 --------- d-----w C:\Programme\PokerStars
2008-07-03 13:26 --------- d-----w C:\Programme\eMule.de 0.48a v18
2008-06-18 20:41 --------- d-----w C:\Programme\Google
2008-06-15 12:56 --------- d-----w C:\Programme\Winamp
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-31 08:53 --------- d-----w C:\Programme\poc
2008-05-28 13:24 --------- d-----w C:\Programme\ICQ6
2008-05-04 10:08 21,825,703 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_05_04_11_57_31_full.dmp.zip
2008-04-28 18:57 115,333 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_04_28_16_11_47_small.dmp.zip
2008-04-24 22:08 114,927 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_04_24_23_28_27_small.dmp.zip
2008-02-04 13:13 250 ----a-w C:\Dokumente und Einstellungen\dickes.d\Anwendungsdaten\mdb.bin
2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="REM" [X]
"BitTorrent DNA"="REM" [X]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"mpt"="c:\WINDOWS\system32\mpt.exe" [2008-07-14 21:03 58594]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="REM" [X]
"HPDJ Taskbar Utility"="REM" [X]
"Adobe Reader Speed Launcher"="REM" [X]
"TkBellExe"="REM" [X]
"Acrobat Assistant 7.0"="REM" [X]
"Adobe Photo Downloader"="REM" [X]
"googletalk"="C:\Programme\Google\Google Talk\googletalk.exe" [2007-01-01 23:22 3739648]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]
"Spyware Doctor"="C:\Programme\Spyware Doctor\swdoctor.exe" [2006-01-11 02:56 960000]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.ACDV"= ACDV.dll
"vidc.yv12"= yv12vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Google\\Google Talk\\googletalk.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\English\\setup.exe"=
"C:\\WINDOWS\\system32\\mpxa.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18839:TCP"= 18839:TCP:BitComet 18839 TCP
"18839:UDP"= 18839:UDP:BitComet 18839 UDP
"6882:TCP"= 6882:TCP:BitComet 6882 TCP
"6882:UDP"= 6882:UDP:BitComet 6882 UDP

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R2 SFC4;SFC4;C:\WINDOWS\system32\drivers\SFC4.sys [1998-09-16 10:07]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\setup.exe
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{34A0D740-47C1-4F63-8E01-F74D4604F3EE} - C:\WINDOWS\system32\awtuvUND.dll
BHO-{CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013} - C:\WINDOWS\system32\tuvUljhE.dll
Toolbar-{3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D} - C:\WINDOWS\qndsfmao.dll
HKLM-Run-SoundMan - REM SOUNDMAN.EXE
HKLM-Run-Cmaudio - REM RunDll32 cmicnfg.cpl
HKLM-Run-NvCplDaemon - REM RUNDLL32.EXE
HKLM-Run-nwiz - REM nwiz.exe
HKLM-Run-NvMediaCenter - REM RUNDLL32.EXE
ShellExecuteHooks-{CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013} - C:\WINDOWS\system32\tuvUljhE.dll
SSODL-kvxqmtre-{7B9E4D2F-D4CD-4FD7-933A-5A388967000B} - C:\WINDOWS\kvxqmtre.dll
SSODL-evgratsm-{5BF48BFA-B9F6-4033-8F05-A69F8A44AA7F} - C:\WINDOWS\evgratsm.dll
Notify-tuvUljhE - tuvUljhE.dll
Notify-wvUoLfda - wvUoLfda.dll

.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O8 -: &D&ownload &with BitComet - C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 -: &D&ownload all video with BitComet - C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 -: &D&ownload all with BitComet - C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 -: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 -: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 -: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 -: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 -: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 -: {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 -: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {070CA17A-4BD2-4612-83B4-32B1B9159B47} - hxxp://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\Downloaded Program Files\weblive.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-23 15:03:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\system32\SAMLIB.dll
-> ?:\WINDOWS\system32\SAMLIB.dll
-> ?:\WINDOWS\system32\SAMLIB.dll
-> ?:\WINDOWS\system32\SAMLIB.dll
-> ?:\WINDOWS\system32\SAMLIB.dll
-> ?:\WINDOWS\system32\SAMLIB.dll
-> ?:\WINDOWS\system32\msxml3.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-23 15:06:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-07-23 13:06:50

Pre-Run: 6 Verzeichnis(se), 13,787,168,768 Bytes frei
Post-Run: 9 Verzeichnis(se), 13,730,885,632 Bytes frei

227 --- E O F --- 2008-06-20 12:06:20

HJT:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08, on 23.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\dickes.d\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] REM C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] REM C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] REM "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] REM "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] REM "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [googletalk] C:\Programme\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [Adobe Photo Downloader] REM "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] REM "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] REM "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [mpt] c:\WINDOWS\system32\mpt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

--
End of file - 9412 bytes

Startmenü sieht aus wie früher. "Virus Alert" neben der Uhr ist weg, Laufwerke wieder ansteuerbar, Systemsteuerung wieder aufrufbar.
War's das etwa schon?

Fixe mit Hijackthis folgende Einträge:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKCU\..\Run: [BitTorrent DNA] REM "C:\Programme\DNA\btdna.exe"
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Folders to delete:

C:\Programme\DNA

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\WINDOWS\system32\mpt.exe
C:\WINDOWS\system32\drivers\klin.dat
C:\WINDOWS\system32\drivers\klick.dat
C:\WINDOWS\system32\mpxa.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Solltest du nicht aufhören illegal über eMule, Torrent oder sonstigen Mist zu saugen dann musst du dich nicht wundern wenn du das nächste Mal nicht so glimpflich davon kommst.

Lesson learned!

Avenger:

Code:



Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Folder "C:\Programme\DNA" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Virustotal:

Code:

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3         2008.7.17.0         2008.07.18         -

AntiVir         7.8.1.11         2008.07.20         -

Authentium         5.1.0.4         2008.07.20         -

Avast         4.8.1195.0         2008.07.20         -

AVG         8.0.0.130         2008.07.20         -

BitDefender         7.2         2008.07.20         -

CAT-QuickHeal         9.50         2008.07.18         -

ClamAV         0.93.1         2008.07.20         -

DrWeb         4.44.0.09170         2008.07.20         -

eSafe         7.0.17.0         2008.07.20         -

eTrust-Vet         31.6.5966         2008.07.18         -

Ewido         4.0         2008.07.20         -

F-Prot         4.4.4.56         2008.07.20         -

F-Secure         7.60.13501.0         2008.07.20         -

Fortinet         3.14.0.0         2008.07.20         -

GData         2.0.7306.1023         2008.07.20         -

Ikarus         T3.1.1.34.0         2008.07.20         -

Kaspersky         7.0.0.125         2008.07.20         -

McAfee         5342         2008.07.18         -

Microsoft         1.3704         2008.07.20         -

NOD32v2         3282         2008.07.19         -

Norman         5.80.02         2008.07.18         -

Panda         9.0.0.4         2008.07.20         -

Rising         20.53.62.00         2008.07.20         -

Sophos         4.31.0         2008.07.20         -

Sunbelt         3.1.1536.1         2008.07.18         -

Symantec         10         2008.07.20         -

TheHacker         6.2.96.385         2008.07.19         -

TrendMicro         8.700.0.1004         2008.07.18         -

VBA32         3.12.8.1         2008.07.20         -

VirusBuster         4.5.11.0         2008.07.19         -

Webwasher-Gateway         6.6.2         2008.07.20         -

weitere Informationen

File size: 58594 bytes

MD5...: f03a622d9d54ee703bed01d7a97d3241

SHA1..: d6e3f62cf7bf34e87be20f8c0d57e3c9452d9d41

SHA256: cdf1f40da2b0213ae225af39ffae254dd1a01e1c8027b2b52e43d8b2ff764e79

SHA512: 400e6a95f9f45187113c7af91fc6ad6588c1dbd8e539039acc759d123b6318e9

8a5252f60749e224776c41f97efa96dbee6534566f634aa81a32507527fa3994

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x4030e3

timedatestamp.....: 0x4878f231 (Sat Jul 12 18:04:33 2008)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5b68 0x5c00 6.49 6bfa289fc453f683cf6ad42723acbb61

.rdata 0x7000 0x129c 0x1400 5.05 165e3e874dc59c8a96748c6f4d0f4207

.data 0x9000 0x25c58 0x400 4.77 78a50275610b8d77577a9aaa1957d1b6

.ndata 0x2f000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x37000 0x6c8 0x800 2.92 0668cc1f74eb6042f5ee65456f1f43da
 

( 8 imports )

> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA

> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow

> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject

> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation

> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA

> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create

> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
 

( 0 exports )

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.7.24.0        2008.07.24        -

AntiVir        7.8.1.11        2008.07.24        -

Authentium        5.1.0.4        2008.07.24        -

Avast        4.8.1195.0        2008.07.24        -

AVG        8.0.0.130        2008.07.24        -

BitDefender        7.2        2008.07.24        -

CAT-QuickHeal        9.50        2008.07.22        -

ClamAV        0.93.1        2008.07.24        -

DrWeb        4.44.0.09170        2008.07.24        -

eSafe        7.0.17.0        2008.07.24        -

eTrust-Vet        31.6.5979        2008.07.24        -

Ewido        4.0        2008.07.24        -

F-Prot        4.4.4.56        2008.07.22        -

F-Secure        7.60.13501.0        2008.07.24        -

Fortinet        3.14.0.0        2008.07.24        -

GData        2.0.7306.1023        2008.07.24        -

Ikarus        T3.1.1.34.0        2008.07.24        -

Kaspersky        7.0.0.125        2008.07.24        -

McAfee        5345        2008.07.23        -

Microsoft        1.3704        2008.07.24        -

NOD32v2        3295        2008.07.24        -

Norman        5.80.02        2008.07.23        -

Panda        9.0.0.4        2008.07.24        -

PCTools        4.4.2.0        2008.07.24        -

Prevx1        V2        2008.07.24        -

Rising        20.54.32.00        2008.07.24        -

Sophos        4.31.0        2008.07.24        -

Sunbelt        3.1.1536.1        2008.07.18        -

Symantec        10        2008.07.24        -

TheHacker        6.2.96.387        2008.07.23        -

TrendMicro        8.700.0.1004        2008.07.24        -

VBA32        3.12.8.1        2008.07.23        -

ViRobot        2008.7.24.1309        2008.07.24        -

VirusBuster        4.5.11.0        2008.07.24        -

Webwasher-Gateway        6.6.2        2008.07.24        -

weitere Informationen

File size: 96559 bytes

MD5...: ebc15586e8b894aca9f2d8efbe2d527f

SHA1..: 90da8bd8a122f64c0fdafbde004e6322aabf1e88

SHA256: 972a19f62fe7a08accde5bccdd317da3341ffa7c98241c419a3d671bb99e61f7

SHA512: 79cbf4f87a6c3ed5664c720880cf979d1fc0e7acc23330859fab609c972d7ddf

8f0256441da89e9830fb2a18c4ff49dc187ae790ca0eb09a77234e08c7957cba

PEiD..: -

PEInfo: -

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.7.24.0        2008.07.24        -

AntiVir        7.8.1.11        2008.07.24        -

Authentium        5.1.0.4        2008.07.24        -

Avast        4.8.1195.0        2008.07.24        -

AVG        8.0.0.130        2008.07.24        -

BitDefender        7.2        2008.07.24        -

CAT-QuickHeal        9.50        2008.07.22        -

ClamAV        0.93.1        2008.07.24        -

DrWeb        4.44.0.09170        2008.07.24        -

eSafe        7.0.17.0        2008.07.24        -

eTrust-Vet        31.6.5979        2008.07.24        -

Ewido        4.0        2008.07.24        -

F-Prot        4.4.4.56        2008.07.22        -

F-Secure        7.60.13501.0        2008.07.24        -

Fortinet        3.14.0.0        2008.07.24        -

GData        2.0.7306.1023        2008.07.24        -

Ikarus        T3.1.1.34.0        2008.07.24        -

Kaspersky        7.0.0.125        2008.07.24        -

McAfee        5345        2008.07.23        -

Microsoft        1.3704        2008.07.24        -

NOD32v2        3295        2008.07.24        -

Norman        5.80.02        2008.07.23        -

Panda        9.0.0.4        2008.07.24        -

PCTools        4.4.2.0        2008.07.24        -

Prevx1        V2        2008.07.24        -

Rising        20.54.32.00        2008.07.24        -

Sophos        4.31.0        2008.07.24        -

Sunbelt        3.1.1536.1        2008.07.18        -

Symantec        10        2008.07.24        -

TheHacker        6.2.96.387        2008.07.23        -

TrendMicro        8.700.0.1004        2008.07.24        -

VBA32        3.12.8.1        2008.07.23        -

ViRobot        2008.7.24.1309        2008.07.24        -

VirusBuster        4.5.11.0        2008.07.24        -

Webwasher-Gateway        6.6.2        2008.07.24        -

weitere Informationen

File size: 87855 bytes

MD5...: cc0d8614e447d319d63230b0a09909a8

SHA1..: 704c7ce98215a639b14a090c1ce2e37de169eaa3

SHA256: 3ce9bbc4f8a59efe1556ba57ecff08c56f2a1fccfde8ebb4f6554c9535d70e7c

SHA512: de5dfc7464af003c3a4ff872e4f044e5984c9d9d14549ae85f49447ad5a0c349

7f1a21357687659032c9e41451f74eabd553ccc68499d4bf5c764a9655b7cf3a

PEiD..: -

PEInfo: -

Code:

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3         2008.7.11.0         2008.07.15         Win-Trojan/3proxy.41984

AntiVir         7.8.0.64         2008.07.15         -

Authentium         5.1.0.4         2008.07.15         W32/Heuristic-324!Eldorado

Avast         4.8.1195.0         2008.07.14         Win32:Trojan-gen {Other}

AVG         7.5.0.516         2008.07.15         -

BitDefender         7.2         2008.07.15         -

CAT-QuickHeal         9.50         2008.07.14         -

ClamAV         0.93.1         2008.07.15         -

DrWeb         4.44.0.09170         2008.07.15         -

eSafe         7.0.17.0         2008.07.14         Suspicious File

eTrust-Vet         31.6.5956         2008.07.15         -

Ewido         4.0         2008.07.15         -

F-Prot         4.4.4.56         2008.07.14         W32/Heuristic-324!Eldorado

F-Secure         7.60.13501.0         2008.07.15         -

Fortinet         3.14.0.0         2008.07.15         -

GData         2.0.7306.1023         2008.07.15         Win32:Trojan-gen

Ikarus         T3.1.1.26.0         2008.07.15         Virus.Win32.Trojan

Kaspersky         7.0.0.125         2008.07.15         -

McAfee         5338         2008.07.14         -

Microsoft         1.3704         2008.07.15         -

NOD32v2         3268         2008.07.15         -

Norman         5.80.02         None..         -

Panda         9.0.0.4         2008.07.14         Suspicious file

Prevx1         V2         2008.07.15         Suspicious

Rising         20.53.12.00         2008.07.15         -

Sophos         4.31.0         2008.07.15         -

Sunbelt         3.1.1536.1         2008.07.15         -

Symantec         10         2008.07.15         -

TheHacker         6.2.96.379         2008.07.14         -

TrendMicro         8.700.0.1004         2008.07.15         PAK_Generic.001

VBA32         3.12.8.0         2008.07.15         Trojan.Proxy.2685

VirusBuster         4.5.11.0         2008.07.14         -

Webwasher-Gateway         6.6.2         2008.07.15         -

weitere Informationen

File size: 18944 bytes

MD5...: 5d3f13453574a7730f29fe3f85a0b669

SHA1..: f41908e13b42948b9aee52d9c0fe749f810a96c4

SHA256: af2613d843927bdffa9c5ec3585089926def9b17c72b8967e051a1e349dcf97f

SHA512: 294aa2bcbe9d1b4caf8df4a9f5129581130765016668b783ae54b2d6e3fd6f26

35a76f7118770725d3e2f9d415511484a5686f1ef8c4b3f8481f62e3734691eb

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x40f440

timedatestamp.....: 0x4785396f (Wed Jan 09 21:15:27 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0xb000 0x5000 0x4600 7.90 17133d64e9304173a5c63e31b799fcee

UPX2 0x10000 0x1000 0x200 2.23 eb567ced00d0780a781d0b29cf40d3e5
 

( 3 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> msvcrt.dll: _iob

> WS2_32.DLL: bind
 

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C1CD43A200A897514AA90012B452B800C4EC7E5C

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

packers (Authentium): UPX

Es ist leider nicht ganz ersichtlich welche Auswertung zu welcher Datei gehört.

Ist das die Reihenfolge in der ich sie dir gepostet habe?

Lade dann bitte die ersten drei, also die wo keine Funde verzeichnet werden bei uns auf dem Server hoch. Den Ergebnissen traue ich nämlich nicht..

http://www.trojaner-board.de/54791-a...-new-post.html

war die reihenfolge die du geposted hast.

dateien sind hochgeladen.

gruß,
dickes.d

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

c:\WINDOWS\system32\mpt.exe

C:\WINDOWS\system32\mpxa.exe

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Avenger Meldung bei "Execute":

Error: Invalid Script. A valid script must begin with a command directive.
Aborting execution!

hat nach einigen versuchen und einigen tagen abstand doch geklappt. hier das logfile:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Folder "C:\Programme\DNA" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.
 
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Fri Jul 25 12:17:35 2008
 

12:17:35: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Fri Jul 25 12:17:45 2008
 

12:17:45: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Fri Jul 25 12:18:59 2008
 

12:18:59: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Fri Jul 25 12:21:00 2008
 

12:21:00: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Fri Jul 25 14:24:55 2008
 

14:24:55: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Fri Jul 25 14:24:59 2008
 

14:24:59: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Fri Jul 25 14:27:21 2008
 

14:27:21: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "c:\WINDOWS\system32\mpt.exe" deleted successfully.

File "C:\WINDOWS\system32\mpxa.exe" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

habe auf den festplatten neue ordner (c67fe612aff4f9cf12ece3f7fbea23 oder ähnlich)
haben die nen sinn, oder können die weg?

gruß,
dickes.d

Zitat:

habe auf den festplatten neue ordner (c67fe612aff4f9cf12ece3f7fbea23 oder ähnlich)
haben die nen sinn, oder können die weg?

Was ist in den Ordnern drinn?

Wie sieht's mit den Problemen aus?