Trojaner-Board - Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen"....

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen".... (https://www.trojaner-board.de/61715-mehrere-trojaner-gefunden-trojan-spy-win32-greenscreen.html)

Mehrere Trojaner gefunden "trojan-spy.win32.greenscreen"....

Hallo,

hab seit gestern ein Problem mit:
1.trojan-spy.win32.greenscreen
2.Trojan-Clicker.Win32Tiny.h
3.Trojan-Downloader.Win32.Agent.bq
4.Trojan-Spy.Win32.Keylogger.aa
5.Trojan-Spy.HTML.Bankfraud.dq

Ich hab jetzt auch schon HiJack this angewendet. Ich hoffe es ist alles richtig gemacht!

Code:

Logfile of Trend Micro Hija**This v2.0.2

Scan saved at 11:32:16, on 10.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Programme\Spyware Doctor\pctsAuxs.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\brastk.exe

C:\Programme\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\spgbijgb.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\System32\alg.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [winutildb] C:\WINDOWS\system32\spgbijgb.exe

O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe

O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O21 - SSODL: comdbadm - {73D0635E-0B2F-7247-33FF-02C10A20279A} - C:\Programme\chcedyf\comdbadm.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
 

--

End of file - 7992 bytes

Ich bitte um schnelle Hilfe.

Liebe Grüße Fako

Hallo und:hallo:

lass bitte diese Dateien

Zitat:

C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\spgbijgb.exe
C:\Programme\chcedyf\comdbadm.dll

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Überprüfe dein System ebenfalls mit Smitfraudfix (Option 1)
SmitFraudFix
deaktiviere dazu bitte den Hintergrundwächter deines Antivirenprogramms da es sonst zu einem Fehlalarm kommt, poste nach dem scan bitte den rapport.txt hierher.

MFG

Hey,

ich hab ejtzt einfach mal alles kopiert, hofef es ist nicht schlimm

Code:

AhnLab-V3        2008.10.10.1        2008.10.10        -

AntiVir        7.8.1.34        2008.10.10        -

Authentium        5.1.0.4        2008.10.11        -

Avast        4.8.1248.0        2008.10.10        Win32:PureMorph

AVG        8.0.0.161        2008.10.10        -

BitDefender        7.2        2008.10.11        -

CAT-QuickHeal        9.50        2008.10.11        Win32.Trojan.Obfuscated.gx.3

ClamAV        0.93.1        2008.10.11        -

DrWeb        4.44.0.09170        2008.10.11        -

eSafe        7.0.17.0        2008.10.08        -

eTrust-Vet        31.6.6141        2008.10.10        -

Ewido        4.0        2008.10.11        -

F-Prot        4.4.4.56        2008.10.10        -

F-Secure        8.0.14332.0        2008.10.11        -

Fortinet        3.113.0.0        2008.10.11        W32/PolySmall.BP!tr

GData        19        2008.10.11        Win32:PureMorph

Ikarus        T3.1.1.34.0        2008.10.11        -

K7AntiVirus        7.10.490        2008.10.10        -

Kaspersky        7.0.0.125        2008.10.11        -

McAfee        5403        2008.10.11        FakeAlert-BD

Microsoft        1.4005        2008.10.11        Trojan:Win32/Busky.EI

NOD32        3514        2008.10.11        a variant of Win32/TrojanDownloader.FakeAlert.IQ

Norman        5.80.02        2008.10.10        -

Panda        9.0.0.4        2008.10.11        -

PCTools        4.4.2.0        2008.10.10        -

Prevx1        V2        2008.10.11        -

Rising        20.65.42.00        2008.10.10        -

SecureWeb-Gateway        6.7.6        2008.10.10        -

Sophos        4.34.0        2008.10.11        Mal/EncPk-DG

Sunbelt        3.1.1715.1        2008.10.11        -

Symantec        10        2008.10.11        Packed.Generic.182

TheHacker        6.3.1.0.106        2008.10.10        -

TrendMicro        8.700.0.1004        2008.10.10        -

VBA32        3.12.8.6        2008.10.10        -

ViRobot        2008.10.10.1416        2008.10.10        -

VirusBuster        4.5.11.0        2008.10.10        -

weitere Informationen

File size: 73728 bytes

MD5...: 4d6b2e60344780e9a2176ad0f0834456

SHA1..: 0cb989ba7e0be5d9634c6b7c604ebad7d50faca7

SHA256: 5f095fc87f6804338d50b87de0490d64d48f6b45be6d091e8224ad049f008f2c

SHA512: 2d240c8c668accc3efcd9ce2640f30fa3285f1aeb4d9b35df37351f9d79de827

f8b137ee20cb73796acfe2dea3187f69c9fb79558212b702a8621d4f6375f8ae

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x40994a

timedatestamp.....: 0x48ee2b4c (Thu Oct 09 16:03:24 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.wmdvvsl 0x1000 0xeb54 0xf000 6.50 ee6207b99f462dda5e4b9a577cf39105

.lrdlioo 0x10000 0x5b4 0x1000 2.49 a0a91178e993f7054826471b805dd4d3

.ociqj 0x11000 0x5a24 0x1000 0.70 8e4a3667f506789863b1c9b7631a4006
 

( 2 imports )

> KERNEL32.dll: GetVersion, VirtualFree, WaitForSingleObject, FreeLibrary, WriteFile, LoadLibraryA, WideCharToMultiByte, GetSystemTime, TerminateThread, QueryDosDeviceW, SetThreadPriority, CloseHandle, FindResourceW, LoadResource, FindFirstFileW, GetCurrentProcessId, GetUserDefaultLangID, GetCurrentThread, GetFileAttributesExW, lstrcpyW, WaitForMultipleObjects, GetProcAddress, GetCurrentThreadId, GetPrivateProfileStringW, FindNextChangeNotification, FindFirstChangeNotificationW, MultiByteToWideChar, GlobalUnlock, CreateProcessW, lstrlenW

> USER32.dll: GetClassNameW, RegisterClassExW, DispatchMessageW, CreateWindowExW, GetKeyState, WindowFromPoint, LoadCursorW, SetWindowPos, GetCursorPos, ReleaseDC, DefWindowProcW, GetMessageW, AppendMenuW, PostQuitMessage, MessageBoxW, SendMessageW, CreatePopupMenu, SetWindowTextW, IsWindow, TranslateMessage, RegisterWindowMessageW, LoadImageW
 

( 0 exports )

Rapport :

Code:

SmitFraudFix v2.358
 

Scan done at 12:53:32,26, 11.10.2008

Run from C:\Programme\Mozilla Firefox\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode
 

»»»»»»»»»»»»»»»»»»»»»»»» Process
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\spgbijgb.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\cmd.exe
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 

hosts file corrupted !
 

127.0.0.1        www.legal-at-spybot.info

127.0.0.1        legal-at-spybot.info
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter\Application Data
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Peter\FAVORI~1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Die derzeitige Homepage"

 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, following keys are not inevitably infected!!!
 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, following keys are not inevitably infected!!!
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

Description: D-Link AirPlus G+ DWL-G520+ Wireless PCI Adapter - Paketplaner-Miniport

DNS Server Search Order: 192.168.178.1
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{86647B50-FEBB-4823-BA38-EEEC8CE97BD9}: DhcpNameServer=192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

LG Fako

Hallo

du hast wohl nur eine Datei der drei auswerten lassen oder kam bei allen das selbe Ergebnis:rolleyes:?

Lass bitte zuerst Malwarebytes dein System bereinigen und anschließend lass Combofix dein System untersuchen

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste bitte die entstandenen Logs hierher und berichte.

MFG

Sorry :P das ist jettz von dem ersten. Das andere war von dem zweiten
die 3. datei findet der nicht :(

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.10.10.1        2008.10.10        -

AntiVir        7.8.1.34        2008.10.11        -

Authentium        5.1.0.4        2008.10.11        -

Avast        4.8.1248.0        2008.10.10        Win32:Lighty

AVG        8.0.0.161        2008.10.10        Downloader.Generic7.AXLP

BitDefender        7.2        2008.10.11        -

CAT-QuickHeal        9.50        2008.10.11        -

ClamAV        0.93.1        2008.10.11        -

DrWeb        4.44.0.09170        2008.10.11        -

eSafe        7.0.17.0        2008.10.08        -

eTrust-Vet        31.6.6141        2008.10.10        -

Ewido        4.0        2008.10.11        -

F-Prot        4.4.4.56        2008.10.10        -

F-Secure        8.0.14332.0        2008.10.11        Suspicious:W32/Malware!Gemini

Fortinet        3.113.0.0        2008.10.11        -

GData        19        2008.10.11        Win32:Lighty

Ikarus        T3.1.1.34.0        2008.10.11        Virus.Win32.Lighty

K7AntiVirus        7.10.491        2008.10.11        -

Kaspersky        7.0.0.125        2008.10.11        -

McAfee        5403        2008.10.11        -

Microsoft        1.4005        2008.10.11        TrojanDownloader:Win32/Renos

NOD32        3515        2008.10.11        a variant of Win32/TrojanDownloader.FakeAlert.LG

Norman        5.80.02        2008.10.10        W32/Lighty.D

Panda        9.0.0.4        2008.10.11        -

PCTools        4.4.2.0        2008.10.11        -

Prevx1        V2        2008.10.11        Cloaked Malware

Rising        20.65.42.00        2008.10.10        -

SecureWeb-Gateway        6.7.6        2008.10.11        -

Sophos        4.34.0        2008.10.11        -

Sunbelt        3.1.1715.1        2008.10.11        -

Symantec        10        2008.10.11        -

TheHacker        6.3.1.0.106        2008.10.10        -

TrendMicro        8.700.0.1004        2008.10.10        -

VBA32        3.12.8.6        2008.10.10        OScope.Downloader.Braviax.3

ViRobot        2008.10.10.1416        2008.10.10        -

VirusBuster        4.5.11.0        2008.10.11        Trojan.DR.Renos.ATB

weitere Informationen

File size: 9728 bytes

MD5...: 2669a713f96a2533c91cd59c4fc79fc4

SHA1..: b0080bc76a15c6a1b41535be9529a4ae324765d1

SHA256: 34b3efbc2658152fed6564682806674a987c28574d17bf741181b86b97e1998e

SHA512: 31879af1c40807a12434ebedf9448532fa2c61bdb05b522c6dbee426f63521b2

c0302a2f1ff008ba4562ab85ba15aeb569a37ffd7ad96bc1a89799ea9bd43306

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401000

timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x4000 0x200 4.89 34bd25994ec81ad385c92bb46805cd7e

.data 0x5000 0x3000 0x2000 7.50 6c43ac81f586120d4d00a1ad3594a5cc

.rdata 0x8000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0xb000 0x3000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
 

( 3 imports )

> KERNEL32.DLL: CancelDeviceWakeupRequest, CreateTapePartition, DeleteFileA, ExitProcess, GetCurrentDirectoryW, GetProcessHeap, GetTapeParameters, GetThreadContext, GetVolumeInformationW, GlobalCompact, HeapCreate, HeapFree, HeapValidate, HeapWalk, LoadResource, ReadFileEx, ResetWriteWatch, SleepEx, TerminateThread, WaitCommEvent, lstrcat, lstrcatA

> USER32.DLL: AdjustWindowRectEx, BroadcastSystemMessageA, CharToOemBuffA, DdeGetLastError, DefMDIChildProcW, DeleteMenu, DrawAnimatedRects, DrawCaptionTempA, DrawCaptionTempW, DrawIconEx, GetKBCodePage, GetShellWindow, GetThreadDesktop, IMPGetIMEW, IntersectRect, LockWindowUpdate, MapVirtualKeyExA, RegisterSystemThread, RegisterWindowMessageW, RemovePropW, SendIMEMessageExW, SetDebugErrorLevel, SetMenu, SetWindowRgn, ShowScrollBar, UnhookWinEvent, ValidateRgn

> GDI32.DLL: AnimatePalette, ColorMatchToTarget, CopyMetaFileW, CreateMetaFileW, CreateScalableFontResourceA, CreateScalableFontResourceW, GetAspectRatioFilterEx, GetColorAdjustment, GetEnhMetaFileHeader, GetEnhMetaFileW, GetKerningPairsW, GetMetaRgn, GetPixelFormat, GetTextFaceW, RealizePalette, ResetDCW, SetICMMode, SetPixel, SetViewportOrgEx, SwapBuffers
 

( 0 exports )

Hier ist das Ergebnis von Malwarebytes.

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1255

Windows 5.1.2600 Service Pack 2
 

11.10.2008 16:53:28

mbam-log-2008-10-11 (16-53-28).txt
 

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)

Durchsuchte Objekte: 90539

Laufzeit: 49 minute(s), 12 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 11

Infizierte Registrierungswerte: 6

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 4
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{73D0635E-0B2F-7247-33FF-02C10A20279A} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\comdbadm (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winutildb (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\chcedyf\comdbadm.dll (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\spgbijgb.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Combofix folgt noch, aber vllt kannst du damit schon was anfangen

LG Fako :)

Hallo

Zitat:

Combofix folgt noch, aber vllt kannst du damit schon was anfangen

der Anfang sieht ganz gut aus, erstelle nach dem Durchlauf von Combofix bitte auch ein frisches Hijackthis Log.

MFG

Hey,
Sorry ich bin anscheinend einfach zu dumm, auf der Mircosoft-Seite diese doofe Konsole downzuloaden -.- und ne CD hab ich nicht mehr.... und ohne gehts ja nicht. Auf dem Link find ich die Konsole nicht.... :(

LG Fako

Hallo

Zitat:

und ne CD hab ich nicht mehr....

Hauptsache du hast den Aktivierungscode die CD kann man sich im Notfall auch von nem Kumpel leihen.

Zitat:

Sorry ich bin anscheinend einfach zu dumm, auf der Mircosoft-Seite diese doofe Konsole downzuloaden -.-

Lass Combofix ohne diesen Teil der Anleitung laufen.

Poste die Logs hierher und berichte bitte.

MFG

Guten Morgen :)

Woher soll ich den COde haben?:rolleyes:

LG Fako

Moin

Zitat:

Woher soll ich den COde haben?:rolleyes:

der klebt für gewöhnlich auf dem Gehäuse des Computers oder auf dem kleinen grünen (je nach Version blauen) Heftchen:uglyhammer:.
Solltest du auch den Aktivierungscode nicht haben, so handelt es sich wohl um eine illegale Version von WinXP (spekulier:teufel3:) und man kann dir nur raten besorge dir eine legale Version (kaufen) oder steige auf ein freies Betriebssystem um z.B. Linux...
Downloads ? Wiki ? ubuntuusers.de

Prost

Moin,
natürlcih hab ich eine legale Version, hab mal ein bissl gesucht und son aufkleber mit nem Produktkey gefunden und einer anderen Nummer, auf dem Kleber steht "Proof of License Certificate of Authenticity drauf. meinst du den?

LG fako

Hallo

Zitat:

hab mal ein bissl gesucht und son aufkleber mit nem Produktkey gefunden und einer anderen Nummer, auf dem Kleber steht "Proof of License Certificate of Authenticity drauf. meinst du den?

Jupp, den habe ich gemeint.
Ich kam nur auf illegale Version, weil diese Art Patienten oftmals behaupten die CD verlegt zu habenhttp://e.deviantart.com/emoticons/w/weirdface.gif, also Sorry an dieser Stelle:heilig:.

Fahre mit Combofix und anschließend mit Hijackthis Ford:rolleyes:, dann sehen wir weiter.

MFG

So hier ist der
Combo Log:

Code:

ComboFix 08-10-11.04 - Peter 2008-10-12 19:23:06.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1598 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Peter\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-09-12 bis 2008-10-12  ))))))))))))))))))))))))))))))

.
 

2008-10-12 00:52 . 2008-10-12 00:52        <DIR>        d--------        C:\Programme\CCleaner

2008-10-11 15:54 . 2008-10-11 15:54        <DIR>        d--------        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Malwarebytes

2008-10-11 15:53 . 2008-10-11 15:54        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-10-11 15:53 . 2008-10-11 15:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-10-11 15:53 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-11 15:53 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-11 12:53 . 2008-10-11 12:53        3,140        --a------        C:\WINDOWS\system32\tmp.reg

2008-10-10 16:16 . 2008-10-12 12:05        959        --a------        C:\rollback.ini

2008-10-10 14:49 . 2008-10-10 14:49        <DIR>        d--------        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\MailFrontier

2008-10-10 14:44 . 2008-10-12 19:25        2,127,136        --ahs----        C:\WINDOWS\system32\drivers\fidbox.dat

2008-10-10 14:44 . 2008-10-12 14:03        30,428        --ahs----        C:\WINDOWS\system32\drivers\fidbox.idx

2008-10-10 14:15 . 2008-10-10 17:02        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier

2008-10-10 14:15 . 2008-07-09 09:05        75,248        --a------        C:\WINDOWS\zllsputility.exe

2008-10-10 14:15 . 2008-07-09 09:05        54,672        --a------        C:\WINDOWS\system32\vsutil_loc0407.dll

2008-10-10 14:15 . 2008-07-09 09:05        42,384        --a------        C:\WINDOWS\zllsputility_loc0407.dll

2008-10-10 14:15 . 2008-07-09 09:05        21,904        --a------        C:\WINDOWS\system32\imsinstall_loc0407.dll

2008-10-10 14:15 . 2008-07-09 09:05        17,808        --a------        C:\WINDOWS\system32\imslsp_install_loc0407.dll

2008-10-10 14:15 . 2004-04-27 04:40        11,264        --a------        C:\WINDOWS\system32\SpOrder.dll

2008-10-10 14:15 . 2008-10-10 17:02        4,212        ---h-----        C:\WINDOWS\system32\zllictbl.dat

2008-10-10 14:14 . 2008-10-10 14:14        <DIR>        d--------        C:\Programme\Zone Labs

2008-10-10 14:13 . 2008-10-12 19:11        <DIR>        d--------        C:\WINDOWS\Internet Logs

2008-10-10 11:31 . 2008-10-10 11:31        <DIR>        d--------        C:\Programme\Trend Micro

2008-10-10 11:19 . 2008-10-10 11:19        <DIR>        d--------        C:\Programme\Lavasoft

2008-10-10 11:19 . 2008-10-10 11:19        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-10-10 11:19 . 2008-10-10 11:20        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-10-10 02:29 . 2008-10-10 02:29        91        --a------        C:\WINDOWS\wininit.ini

2008-10-10 02:09 . 2008-10-10 02:11        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy

2008-10-10 02:09 . 2008-10-12 12:16        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-10-10 02:03 . 2008-10-10 13:55        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-10-10 01:25 . 2008-10-11 10:44        <DIR>        d--------        C:\Programme\chcedyf

2008-10-10 01:25 . 2008-10-11 01:00        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\glwfghgr

2008-10-09 17:22 . 2008-10-11 11:48        <DIR>        d--------        C:\WINDOWS\system32\CatRoot_bak

2008-09-30 14:37 . 2008-09-30 14:37        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-09-30 14:37 . 2008-09-30 14:37        1,409        --a------        C:\WINDOWS\QTFont.for

2008-09-20 15:48 . 2008-09-20 15:48        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\xing shared

2008-09-20 15:48 . 2008-09-20 15:48        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Real

2008-09-20 15:48 . 2008-09-20 15:48        <DIR>        d--------        C:\Program Files

2008-09-18 02:41 . 2008-09-18 02:41        42,320        --a------        C:\WINDOWS\system32\xfcodec.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-12 17:14        ---------        d-----w        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Xfire

2008-10-11 23:26        ---------        d-----w        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\teamspeak2

2008-10-11 14:53        ---------        d-----w        C:\Programme\ICQToolbar

2008-10-10 06:58        82,944        ----a-w        C:\WINDOWS\system32\o4Patch.exe

2008-10-10 06:58        82,944        ----a-w        C:\WINDOWS\system32\IEDFix.C.exe

2008-10-09 23:25        ---------        d-----w        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ICQ Toolbar

2008-10-09 15:21        ---------        d-----w        C:\Programme\Xfire

2008-10-03 13:51        ---------        d-----w        C:\Programme\KONAMI

2008-10-03 13:28        ---------        d-----w        C:\Programme\EuroPoker

2008-10-01 13:51        87,552        ----a-w        C:\WINDOWS\system32\VACFix.exe

2008-09-29 10:17        ---------        d-----w        C:\Programme\ICQ6

2008-09-12 12:27        ---------        d-----w        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\gtk-2.0

2008-09-11 21:22        ---------        d-----w        C:\Programme\GIMP-2.0

2008-09-08 21:38        88,576        ----a-w        C:\WINDOWS\system32\AntiXPVSTFix.exe

2008-09-03 16:30        ---------        d-----w        C:\Programme\CamStudio

2008-08-19 21:05        ---------        d-----w        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\McLoad

2008-08-18 10:19        82,432        ----a-w        C:\WINDOWS\system32\404Fix.exe

2008-08-16 19:23        ---------        d-----w        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Nokia

2008-08-16 18:25        ---------        d-----w        C:\Programme\PC Connectivity Solution

2008-08-16 18:25        ---------        d-----w        C:\Programme\Nokia

2008-08-16 18:25        ---------        d-----w        C:\Programme\Gemeinsame Dateien\PCSuite

2008-08-16 18:25        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Nokia

2008-08-16 18:25        ---------        d-----w        C:\Programme\DIFX

2008-08-16 18:25        ---------        d-----w        C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\PC Suite

2008-08-16 18:25        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite

2008-08-16 18:24        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2004-08-20 17:09        62,865        ----a-w        C:\WINDOWS\inf\IM\odysseyIM3.sys

2004-08-20 17:09        45,056        ----a-w        C:\WINDOWS\inf\IM\imdinst.exe

2004-08-20 17:09        12,739        ----a-w        C:\WINDOWS\inf\IM\odNetInstall.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-25 94208]

"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

"Google Update"="C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-02 133104]

"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 7561216]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 86016]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-28 266497]

"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-06-14 278528]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-06-05 282624]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 155648]

"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-20 185896]

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"nwiz"="nwiz.exe" [2006-03-09 C:\WINDOWS\system32\nwiz.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 15360]

"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
 

C:\Dokumente und Einstellungen\Peter\Startmen\Programme\Autostart\

Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-09-18 3089232]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

D-Link AirPlus G+ Wireless Adapter Utility.lnk - C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE [2008-05-29 671744]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.XFR1"= xfcodec.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programme\\Xfire\\xfire.exe"=

"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R3 cm102u32;C-Media CM6501 Like Sound Interface;C:\WINDOWS\system32\drivers\c6501.sys [2006-09-05 1419968]

R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2004-05-21 283392]
 

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-10-12 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job

- C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-02 22:00]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-C6501Sound - c6501.cpl
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Mozilla\Firefox\Profiles\th9zc4x5.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de

FF -: plugin - C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll

FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll

FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll

FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-12 19:24:42

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-12 19:27:30

ComboFix-quarantined-files.txt  2008-10-12 17:27:16
 

Vor Suchlauf: 9 Verzeichnis(se), 126.456.184.832 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 126,456,442,880 Bytes frei
 

178        --- E O F ---        2008-10-11 09:39:58

Aber wozu brauche ich nun den Code?

Hijackthis findet nur eventuelle gefährdungen: 1. C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
2. C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Da sagt er das sie laut der datenbank an eine anderen stelllt zu findne sind

LG Fako

Hallo

Zitat:

Aber wozu brauche ich nun den Code?

wenn du WinXP mal neu installieren solltest, wird dieser zur Aktivierung deines Betriebssystems benötigt.

Zitat:

Hijackthis findet nur eventuelle gefährdungen: 1. C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
2. C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Da sagt er das sie laut der datenbank an eine anderen stelllt zu findne sind

Schön, aber der automatischen Auswertung traue ich nicht so weit wie ich Spucken kann:teufel2:...
Poste bitte das Log hierher.

MFG

Bitteschön :lach:

Code:

Logfile of Trend Micro Hi jackThis v2.0.2

Scan saved at 23:57:23, on 12.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\explorer.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe

O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 7314 bytes

LG Fako