Trojaner-Board - Trojaner eingefangen, bitte um Schnelle Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner eingefangen, bitte um Schnelle Hilfe! (https://www.trojaner-board.de/57176-trojaner-eingefangen-bitte-um-schnelle-hilfe.html)

Trojaner eingefangen, bitte um Schnelle Hilfe!

Schönen guten Abend,

ich habe mir heute mittag, ohne es zu wissen einen Trojaner eingefangen! Mein PC ist sagen wir, zu 50 % ausser gefecht, was für mich als Webdesigner immer noch 50 % zu viel ist! (Sprich: Ich möchte ihn wieder 100 % am laufen bekommen).
Also, ich schildere euch erstmal, was für einen unfug der Trojaner so veranstaltet:
- Ich habe kein Hintergrundbild mehr, sondern einen Roten Hintergrund (bzw Link-Bild als WP) mit der Aufschrift:"Your Privacy is in Danger" und darüber einem Atomdingens zeichen!
- Rechts neben der Uhr steht "VIRUS ALERT!" und auch im chatprogramm.
- Ich kann auf meinen Arbeitsplatz sowie auf meine Eigenen Dateien nicht mehr zugreifen, bin mir aber sicher, das sie noch existieren.
- Im Minutentakt werden mir Downloads angeboten, die ein Virusprogramm darstellen sollen...
- Viele Icons auf dem Desktop sind verschwunden, und einige andere sin neu dazu gekommen wie zB: "Error Cleaner", "antivirus-2008pro" welches verwechselnd ähnlich dem Microsoft Virus Cleaner aussieht.

Und nun zum wichtigen teil: Wie bekomme ich dieses teil wieder weg? Ich bin mich gerade schwarz am ärgern, und hoffe blos, das meine daten vorhanden bleiben!
Windows XP liegt schon parrat, falls eine Neuinstallation fällig ist!
Ich tue wirklich ALLES, damit mein PC wieder funzt, und bedanke mich jetzt schonmal für meine (hoffentlich) eilenden retter!

MFG Yoshiii

Also schonmal Abgesicherter Modus versucht und dann mal anti vir oder sowas laufen lassen. Alternativ mach dir ne live cd (mit antivirus software). Mit der kannst dan auch hoffentlich dafür sorgen das du deine daten backupen kannst.
Mfg Aldi

da kommen wir schon zum nächsten prob x(:
Wenn ich den PC Neustarte un im Abgesicherten Modus Starte, bleibt der Rechner auf einmal hängen und ich muss ihn Reseten! Ich werd das glecih nochmal probieren (vllt hat er sich dann n bissel beruhigt ^^).

So, in den abgesicherten Modus komme ich nun wieder!
Und nun bitte ich um Hilfe, denn ich verzweifel hier fast!!!
:headbang::headbang::headbang:

Hallo

deaktiviere bitte den Hintergrundwächter deines Antivireprogramms und lade dir Smitfraudfix von hier
SmitFraudFix
wechsel in den abgesicherten Modus und lass Smitfraudfix mit der Option 2 (Bereinigung) laufen, speichere bitte den rapport.txt.
Starte dein System neu in den normalen Modus und lade dir Malwarebytes herunter.
Scanne dein System mit Malwarebytes (noch nix löschen) und poste das Log sowie den rapport.txt und ein Hijackthis Log.

MFG

na das nenn ich mal hilfe =)
Also, ich habe jetzt im Abgesicherten Modus gestartet und dieses SmitfraudFix durchgeführt (zuerst search dann clean). Jedoch habe ich vergessen, mein Virenprogramm auszuschalten! Hoffe, das ist nicht so schlimm, und hier mal der Rapport:

SmitFraudFix v2.333

Scan done at 14:29:35,57, 03.08.2008
Run from C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\nfavxwdbdfm.dll deleted.
C:\WINDOWS\fdkowvbp.dll deleted.
C:\WINDOWS\wnslvxtf.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\privacy_danger\ Deleted
C:\DOKUME~1\ROBERT~1.ROB\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\ROBERT~1.ROB\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\ROBERT~1.ROB\Desktop\Spyware?Malware Protection.url Deleted
C:\DOKUME~1\ROBERT~1.ROB\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\ROBERT~1.ROB\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\ROBERT~1.ROB\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EEECF9DE-C99B-41A8-9E5F-97FE108182F7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EEECF9DE-C99B-41A8-9E5F-97FE108182F7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EEECF9DE-C99B-41A8-9E5F-97FE108182F7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Hallo

gut dann jetzt der Scan mit Malwarebytes wie oben beschrieben.

MFG

öhm, ich hatte Malwarbytes jetz ca ne stunde am laufen und nu is es fertig... der hat grad 178.000 Dateien durchsucht und 72 infizierte gefunden. Aber ich hab das jetz net im Abgesicherten Modus laufen lassen... is das schlimm??
Hier is der LOG:

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1018

Windows 5.1.2600 Service Pack 2
 

16:50:55 03.08.2008

mbam-log-8-3-2008 (16-50-51).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 178848

Laufzeit: 59 minute(s), 41 second(s)
 

Infizierte Speicherprozesse: 1

Infizierte Speichermodule: 6

Infizierte Registrierungsschlüssel: 20

Infizierte Registrierungswerte: 4

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 5

Infizierte Dateien: 34
 

Infizierte Speicherprozesse:

C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe (Rogue.Antivirus2008) -> No action taken.
 

Infizierte Speichermodule:

C:\WINDOWS\system32\kltoxjox.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\nnnoPgeC.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\ssqoLCvv.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\zijxfd.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\eqvwamkl.dll (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{358e9b65-a13b-44b4-9b54-f5133209e31a} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{358e9b65-a13b-44b4-9b54-f5133209e31a} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0abcfd0-1321-4db4-a169-fc56228f3c3e} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{f0abcfd0-1321-4db4-a169-fc56228f3c3e} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{a596175d-bbc7-476a-a152-fba652b64505} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a596175d-bbc7-476a-a152-fba652b64505} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqolcvv (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{258f8853-512e-421f-8b16-ad7b60bebec6} (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\antivirus 2008 pro (Rogue.Antivirus2008) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\487aaf6e (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a596175d-bbc7-476a-a152-fba652b64505} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus-2008pro.exe (Rogue.Antivirus2008) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnopgec -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnopgec  -> No action taken.
 

Infizierte Verzeichnisse:

C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> No action taken.

C:\Programme\Antivirus 2008 PRO (Rogue.Antivirus2008) -> No action taken.

C:\Programme\Antivirus 2008 PRO\Infected (Rogue.Antivirus2008) -> No action taken.

C:\Programme\Antivirus 2008 PRO\Suspicious (Rogue.Antivirus2008) -> No action taken.
 

Infizierte Dateien:

C:\WINDOWS\system32\nnnoPgeC.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\CegPonnn.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\CegPonnn.ini2 (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\zijxfd.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\kltoxjox.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\xojxotlk.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\ssqoLCvv.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\eqvwamkl.dll (Trojan.FakeAlert) -> No action taken.

C:\New Download\Setup(3).exe (Adware.Seekmo) -> No action taken.

C:\System Volume Information\_restore{E00477F0-DF07-4B46-A26A-0966F7B06DAE}\RP156\A0046116.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\edot.exe (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\system32\jkkICVNf.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\mqylqrxr.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\tdlcvxjv.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\ttrjem.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\privacy_danger\index.htm (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\privacy_danger\images\capt.gif (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\privacy_danger\images\danger.jpg (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\privacy_danger\images\down.gif (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\privacy_danger\images\spacer.gif (Trojan.FakeAlert) -> No action taken.

C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe (Rogue.Antivirus2008) -> No action taken.

C:\Programme\Antivirus 2008 PRO\vscan.tsi (Rogue.Antivirus2008) -> No action taken.

C:\Programme\Antivirus 2008 PRO\zlib.dll (Rogue.Antivirus2008) -> No action taken.

C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.

C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> No action taken.

C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\TmpRecentIcons\antivirus-2008pro.lnk (Rogue.Link) -> No action taken.

C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Desktop\antivirus-2008pro.lnk (Rogue.Antivirus) -> No action taken.

C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk (Rogue.Antivirus2008) -> No action taken.

C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.

Und hier der HJT Log (kA, ob ich alles richtig gemacht habe)

Code:

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\avmwlanstick\WlanNetService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\ICQ6\ICQ.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe

C:\WINDOWS\system32\wscntfy.exe

D:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Teamspeak2_RC2\TeamSpeak.exe

c:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Desktop\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [487aaf6e] rundll32.exe "C:\WINDOWS\system32\kltoxjox.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent

O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent

O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Xfire.lnk = D:\Programme\Xfire\xfire.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O20 - AppInit_DLLs: zijxfd.dll

O21 - SSODL: eqvwamkl - {258F8853-512E-421F-8B16-AD7B60BEBEC6} - C:\WINDOWS\eqvwamkl.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
 

--

End of file - 5298 bytes

Hallo

lass im nächsten Durchlauf mit Malwarebytes alles gefundene löschen und poste anschließend das Log.

MFG

so, habe nun alles gefundene gelöscht, es kam eine meldung, das einiges nicht gelöscht werden kann (oder so ähnlich) weswegen ich nocheinmal gescannt habe, wo dann "nur" noch 29 funde waren! (log im anhang)

Und dann noch etwas, das mich ein wenig beunruhigt hat! Als ich meinen rechner hochgefahren habe, kam unmittelbar nach meiner anmeldung eine fehlermeldung: "Die Anwendung oder DLL C:\WINDOWS\system32\zijxfd.dll ist keine gültige Windows Datei. Überprüfen sie dies mit der Installationsdiskette".
Was hat das zu bedeuten???

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1018

Windows 5.1.2600 Service Pack 2
 

20:07:26 03.08.2008

mbam-log-8-3-2008 (20-07-18).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 174168

Laufzeit: 2 hour(s), 17 minute(s), 31 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 4

Infizierte Registrierungsschlüssel: 11

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\WINDOWS\system32\nnnoPgeC.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\ssqoLCvv.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\zijxfd.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\eqvwamkl.dll (Trojan.FakeAlert) -> No action taken.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a6177923-f5bb-4924-bfa7-16fcb9382791} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{a6177923-f5bb-4924-bfa7-16fcb9382791} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{a596175d-bbc7-476a-a152-fba652b64505} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a596175d-bbc7-476a-a152-fba652b64505} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqolcvv (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{99db7c79-6e35-47c0-a3e6-e35410c02c97} (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{bb1c96c3-8581-4721-8e4b-71e785643ec5} (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{f47c61eb-376b-4c74-8fe6-8bf3ce9bc611} (Trojan.FakeAlert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a596175d-bbc7-476a-a152-fba652b64505} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0\source (Trojan.FakeAlert) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnopgec -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnopgec  -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\nnnoPgeC.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\CegPonnn.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\CegPonnn.ini2 (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\ssqoLCvv.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\zijxfd.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\eqvwamkl.dll (Trojan.FakeAlert) -> No action taken.

C:\System Volume Information\_restore{E00477F0-DF07-4B46-A26A-0966F7B06DAE}\RP156\A0047121.dll (Trojan.Vundo) -> No action taken.

C:\System Volume Information\_restore{E00477F0-DF07-4B46-A26A-0966F7B06DAE}\RP156\A0047124.dll (Trojan.Agent) -> No action taken.

C:\System Volume Information\_restore{E00477F0-DF07-4B46-A26A-0966F7B06DAE}\RP156\A0047125.sys (Trojan.Agent) -> No action taken.

Hallo

OK lass nochmal Malwarebytes dein System reinigen, anschließend lade dir bitte mal Combofix

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

Hier ist der ComboFix Log : )

Code:

ComboFix 08-08-03.03 - robert 2008-08-04 11:16:21.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.196 [GMT 2:00]

ausgeführt von:: C:\New Download\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Startmenü\Programme\Antivirus 2008 PRO

C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk

C:\WINDOWS\system32\juunrocj.ini

D:\Autorun.inf
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_TDSSSERV
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-07-04 bis 2008-08-04  ))))))))))))))))))))))))))))))

.
 

2008-08-04 10:37 . 2008-08-04 10:55        <DIR>        d--------        C:\New Download

2008-08-03 14:45 . 2008-08-03 14:45        <DIR>        d--------        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\Malwarebytes

2008-08-03 14:45 . 2008-08-03 14:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes

2008-08-03 14:45 . 2008-07-30 20:07        38,472        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-08-03 14:45 . 2008-07-30 20:07        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-08-03 14:27 . 2008-08-03 14:31        2,272        --a------        C:\WINDOWS\system32\tmp.reg

2008-08-02 21:30 . 2007-09-06 00:22        289,144        --a------        C:\WINDOWS\system32\VCCLSID.exe

2008-08-02 21:30 . 2006-04-27 17:49        288,417        --a------        C:\WINDOWS\system32\SrchSTS.exe

2008-08-02 21:30 . 2008-05-29 09:35        86,528        --a------        C:\WINDOWS\system32\VACFix.exe

2008-08-02 21:30 . 2008-05-18 21:40        82,944        --a------        C:\WINDOWS\system32\IEDFix.exe

2008-08-02 21:30 . 2008-07-02 13:33        82,432        --a------        C:\WINDOWS\system32\IEDFix.C.exe

2008-08-02 21:30 . 2008-05-23 18:21        81,920        --a------        C:\WINDOWS\system32\404Fix.exe

2008-08-02 21:30 . 2003-06-05 21:13        53,248        --a------        C:\WINDOWS\system32\Process.exe

2008-08-02 21:30 . 2004-07-31 18:50        51,200        --a------        C:\WINDOWS\system32\dumphive.exe

2008-08-02 21:30 . 2007-10-04 00:36        25,600        --a------        C:\WINDOWS\system32\WS2Fix.exe

2008-08-02 21:29 . 2008-08-02 21:31        <DIR>        d--------        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\SmitfraudFix

2008-07-31 17:36 . 2008-08-01 15:44        <DIR>        d--------        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\SPORE Creature Creator

2008-07-31 17:35 . 2008-07-31 17:35        <DIR>        d--------        C:\Programme\Electronic Arts

2008-07-31 17:35 . 2008-07-31 17:38        1,960        --a------        C:\WINDOWS\system32\ealregsnapshot1.reg

2008-07-28 23:15 . 2008-07-28 23:15        <DIR>        d--------        C:\Programme\Lavalys

2008-07-25 22:03 . 2008-07-25 22:03        <DIR>        d--------        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\skypePM

2008-07-25 22:03 . 2008-07-25 22:03        56        --ah-----        C:\WINDOWS\system32\ezsidmv.dat

2008-07-25 22:00 . 2008-07-25 22:06        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype

2008-07-24 15:40 . 2003-09-10 07:04        287,032        --a------        C:\WINDOWS\VictorianInitials1.ttf

2008-07-20 21:35 . 2007-07-26 18:08        787,256        --a------        C:\WINDOWS\trashco.ttf

2008-07-19 12:51 . 2008-07-19 12:51        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Blizzard Entertainment

2008-07-16 01:09 . 2008-07-16 01:09        42,320        --a------        C:\WINDOWS\system32\xfcodec.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-04 08:56        ---------        d-----w        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\Xfire

2008-07-31 15:35        107,888        ----a-w        C:\WINDOWS\system32\CmdLineExt.dll

2008-07-31 15:35        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-07-31 09:40        ---------        d-----w        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\teamspeak2

2008-07-18 21:45        ---------        d-----w        C:\Programme\Java

2008-06-28 14:25        ---------        d-----w        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\ChessBase

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-06-20 10:45        360,320        ----a-w        C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:44        138,368        ----a-w        C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 09:52        225,920        ----a-w        C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-19 15:40        26,096        ----a-w        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2008-06-17 15:39        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\FLEXnet

2008-06-17 15:05        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Macrovision Shared

2008-06-14 17:57        273,024        ------w        C:\WINDOWS\system32\drivers\bthport.sys

2008-06-06 14:07        ---------        d-----w        C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\Thinstall

2008-06-06 13:51        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Macrovision

2008-06-06 13:50        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-05-31 17:01        25,720        ----a-w        C:\Dokumente und Einstellungen\linda\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2008-05-07 05:14        1,293,312        ----a-w        C:\WINDOWS\system32\quartz.dll

2008-01-13 10:14        23,560        ----a-w        C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"tsnp2std"="C:\WINDOWS\tsnp2std.exe" [2007-01-05 17:12 258048]

"snp2std"="C:\WINDOWS\vsnp2std.exe" [2006-09-15 13:21 675840]

"SoundMan"="SOUNDMAN.EXE" [2005-06-20 22:42 77824 C:\WINDOWS\SOUNDMAN.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=zijxfd.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.XFR1"= xfcodec.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^robert.ROBERT-RZHX03TU^Startmenü^Programme^Autostart^Xfire.lnk]

path=C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Startmenü\Programme\Autostart\Xfire.lnk

backup=C:\WINDOWS\pss\Xfire.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-10-10 20:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_SL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a------ 2008-07-18 17:16 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]

-ra------ 2006-12-28 01:02 1454080 C:\Programme\avmwlanstick\WLanGUI.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2005-11-24 15:38 94208 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]

--a------ 2008-06-13 18:27 2752512 C:\Programme\Electronic Arts\EADM\Core.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]

--a------ 2008-04-01 12:40 172280 C:\PROGRA~1\ICQ6\ICQ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

--a------ 2008-03-28 12:26 1271032 d:\Programme\Steam\steam.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=

"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe"=

"D:\\Programme\\Steam\\SteamApps\\yoshimitzu7\\day of defeat source\\hl2.exe"=

"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"D:\\Programme\\Steam\\Steam.exe"=

"D:\\Programme\\Steam\\SteamApps\\hecke_green_barret\\counter-strike source\\hl2.exe"=

"D:\\Programme\\Xfire\\xfire.exe"=

"D:\\Programme\\Steam\\SteamApps\\hecke_green_barret\\day of defeat source beta\\hl2.exe"=

"D:\\Programme\\Steam\\SteamApps\\yoshimitzu7\\day of defeat source beta\\hl2.exe"=

"C:\\Cryptload\\RouterClient.exe"=

"C:\\Cryptload\\CryptLoad.exe"=

"D:\\Programme\\Steam\\SteamApps\\hecke_green_barret\\day of defeat source\\hl2.exe"=

"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
 

R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]

S1 atitray;atitray;C:\Program Files\DNA-drivers\DNA-ATi\Driver\ATI Tray Tools\atitray.sys []

S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]

S3 cdiskdun;cdiskdun;C:\DOKUME~1\ROBERT~1.ROB\LOKALE~1\Temp\cdiskdun.sys []

S3 Dmscdptipq;Dmscdptipq;C:\WINDOWS\system32\drivers\nwlnknb.sys [2001-08-18 21:00]

S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2007-04-09 11:38]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - setupSNK.exe

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-NWEReboot - (no file)

Notify-WgaLogon - (no file)

MSConfigStartUp-AtiTrayTools - C:\Program Files\DNA-drivers\DNA-ATi\Driver\DNA-ATI Tray Tools\atitray.exe
 
 

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\robert.ROBERT-RZHX03TU\Anwendungsdaten\Mozilla\Firefox\Profiles\z5hpqa4l.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-04 11:18:56

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\atitray]

"ImagePath"=hex:5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,\
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\atitray]

"ImagePath"=hex:5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,\

.

Zeit der Fertigstellung: 2008-08-04 11:22:23

ComboFix-quarantined-files.txt  2008-08-04 09:21:20
 

Pre-Run: 15 Verzeichnis(se), 11,310,706,688 Bytes frei

Post-Run: 17 Verzeichnis(se), 11,301,031,936 Bytes frei
 

169        --- E O F ---        2008-08-03 22:06:38

Hallo

Öffne bitte den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text (inhalt der Code-Box) in das weiße Feld:

Code:

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://img.bleepingcomputer.com/combofix/usage/rc.gif
Danach Combofix erneut ausführen, das System neu starten und das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden.
Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden,
da es das System nachhaltig schädigen kann.

MFG