Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Hijack.AE (https://www.trojaner-board.de/64399-tr-hijack-ae.html)

Assetmoc 13.11.2008 16:10
TR/Hijack.AE
 
Guten Tag,

hab da ein kleines Problem: Mein Antivir meldet seit eben dass ich ein TR/Hijack.AE (was ist das??) auf dem Rechner hab.
Pfad der infizierten datei: C:\WINDOWS\system32\mqrtdepd.dll
Ich kann diesen virus allerdings nicht löschen oder in quarantäne verschieben oO

Hijack file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:01, on 13.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Ilir\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/40.14/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222452216796
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3E770E-DA62-4F48-940B-E17E3296B7A0}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7377 bytes

Ich hoffe jemand kann mir helfen

cosinus 14.11.2008 19:25
Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\mqrtdepd.dll
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Assetmoc 19.11.2008 23:20
Ah vielen dank^^ verzeihung für die späte antwort aber hate einiges um die ohren. Habe alle Schritte so gut es ging befolgt:

1)VirusTotal
1.Alle Dateien werden angezeigt;2. virustotal zeigte wegen der ersten datei etwas ,die zweite existiert aber nicht.
Code:
MD5:          9dcc6f05dd2af62685e3ba64798873ff
First received:        2008.10.14 10:54:37 (CET)
Datum        2008.11.19 20:27:09 (CET) [<1D]
Ergebnisse        3/35
Permalink:        analisis/9e2b3a4f0e0dcd1b12e721454537eb0a

AntiVir        7.9.0.34        2008.11.19        TR/Hijack.AE
Ikarus        T3.1.1.45.0        2008.11.19        Trojan-Dropper.Agent
SecureWeb-Gateway        6.7.6        2008.11.19        Trojan.Hijack.AE

File size: 19456 bytes
MD5...: 9dcc6f05dd2af62685e3ba64798873ff
SHA1..: 284a9d9d9d179e28e2d30b1356940b4849109eef
SHA256: 0ceff84a6f1d5d43d09a47b254ec32043657d90ace6c9578c195e6d563a654ab
SHA512: d73e5755417cd19bf666991217b6e223f88bcf3c27018c40760148addac5edb9
9fb90e0ec7d1d8a8c985fd772bb428e20acca7572c4640db23a1b47ef2eae1ad
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x36004151
timedatestamp.....: 0xde392d3fL (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3c82 0x3e00 6.33 6006c52f9cf842968506a7882ba5de7c
.data 0x5000 0x13c 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d
.rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca
.reloc 0x7000 0x264 0x400 3.58 7dd464be2db863e1d0cf011fa39024f2

( 5 imports )
> ADVAPI32.dll: GetUserNameA
> USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA
> KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime
> WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState
> MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy

( 31 exports )
TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall
2)gemacht
3)Da kam dies hier raus
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
4.1)Blacklight
Code:
11/19/08 21:42:06 [Info]: BlackLight Engine 2.2.1092 initialized
11/19/08 21:42:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/19/08 21:42:07 [Note]: 7019 4
11/19/08 21:42:07 [Note]: 7005 0
11/19/08 21:42:10 [Note]: 7006 0
11/19/08 21:42:10 [Note]: 7011 14108
11/19/08 21:42:10 [Note]: 7035 0
11/19/08 21:42:10 [Note]: 7026 0
11/19/08 21:42:11 [Note]: 7026 0
11/19/08 21:42:13 [Note]: FSRAW library version 1.7.1024
11/19/08 21:45:11 [Note]: 7007 0
4.2)Malwarebytes Antimalware
Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1401
Windows 5.1.2600 Service Pack 2

19.11.2008 22:28:45
mbam-log-2008-11-19 (22-28-42).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 145514
Laufzeit: 41 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Lsass Service (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
5)SilentRunner
Code:
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]
"Messenger (Yahoo!)" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"Lsass Service" = "C:\Dokumente und Einstellungen\Ilir\Anwendungsdaten\Microsoft\Windows\lsass.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Deutsche Telekom AG, Marmiko IT-Solutions GmbH"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"
  -> {HKLM...CLSID} = "Adobe PDF Link Helper"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]
{3049C3E9-B461-4BC5-8870-4C09146192CA}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "RealPlayer Download and Record Plugin for Internet Explorer"
                  \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll" ["RealPlayer"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                  \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                  \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                  \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                  \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                  \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                  \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                  \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Ilir\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                  \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

NeroAutoPlay7CDAudio\
"Provider" = "Nero SoundTrax"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Nero\Nero 7\Nero SoundTrax\SoundTrax.exe /" ["Nero AG"]

NeroAutoPlay7CopyCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "PlayMusicFilesOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayMusicFilesOnArrival_CopyCD\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /Dialog:DiscCopy /Drive:%L" ["Nero AG"]

NeroAutoPlay7PlayAudioCD\
"Provider" = "Nero SoundTrax"
"InvokeProgID" = "Nero.AutoPlay3"
"InvokeVerb" = "PlayCDAudioOnArrival_PlayAudioCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayCDAudioOnArrival_PlayAudioCD\command\(Default) = "C:\Programme\Nero\Nero 7\Nero SoundTrax\SoundTrax.exe /Play /Drive:%L" ["Nero AG"]

Picasa2ImportPicturesOnArrival\
"Provider" = "Picasa2"
"InvokeProgID" = "picasa2.autoplay"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\picasa2.autoplay\shell\import\command\(Default) = "C:\Programme\Picasa2\Picasa2.exe "%1"" ["Google Inc."]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
  -> {HKLM...CLSID} = "RealNetworks Scheduler"
                  \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /autoplay "%1"" ["RealNetworks, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
  -> {HKLM...CLSID} = "Yahoo! Toolbar"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
  -> {HKLM...CLSID} = "Yahoo! Toolbar"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*b" (unwritable string)
  -> {HKLM...CLSID} = "Yahoo! Toolbar"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

T-Online WLAN Adapter Steuerungsdienst, MZCCntrl, "C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe" ["Deutsche Telekom AG, Marmiko IT-Solutions GmbH"]


---------- (launch time: 2008-11-19 22:16:45)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 219 seconds.
---------- (total run time: 293 seconds)

Assetmoc 19.11.2008 23:24
6)CombiFix
Code:
ComboFix 08-11-18.A2 - Ilir 2008-11-19 22:48:00.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.662 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Ilir\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Eventuell infizierte Webseiten -----

hxxp://kakoitodomen.com
.
(((((((((((((((((((((((  Dateien erstellt von 2008-10-19 bis 2008-11-19  ))))))))))))))))))))))))))))))
.

2008-11-19 22:33 . 2008-11-19 22:33        <DIR>        d--------        c:\programme\CCleaner
2008-11-19 21:30 . 2008-11-19 21:30        <DIR>        d--------        c:\programme\Gameforge4D
2008-11-15 22:45 . 2008-11-15 22:58        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2008-11-15 22:45 . 2008-11-15 22:45        <DIR>        d--------        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\Malwarebytes
2008-11-15 22:45 . 2008-11-15 22:45        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-15 22:45 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-15 22:45 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-11-14 20:32 . 2008-11-14 20:32        <DIR>        d--------        c:\programme\ASCII
2008-11-14 20:32 . 2000-03-07 00:00        473,600        --a------        c:\windows\system32\Harmony.dll
2008-11-14 20:32 . 2000-03-07 00:00        237,568        --a------        c:\windows\system32\Unlha32.dll
2008-11-14 20:32 . 2000-07-08 15:06        87,040        --a------        c:\windows\UnGins.exe
2008-11-14 20:28 . 2008-11-14 20:28        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Enterbrain
2008-11-14 13:35 . 2008-11-14 13:35        <DIR>        d--------        c:\programme\Little Fighter 2.5 - v2.0
2008-11-13 15:52 . 2008-11-13 16:41        <DIR>        d-a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-10 20:16 . 2008-11-10 20:18        <DIR>        d--------        c:\dokumente und einstellungen\shefki\Anwendungsdaten\uTorrent
2008-11-09 14:35 . 2006-10-05 03:42        2,560        ---------        c:\windows\system32\drivers\cdralw2k.sys
2008-11-09 14:35 . 2006-10-05 03:42        2,432        ---------        c:\windows\system32\drivers\cdr4_xp.sys
2008-11-09 14:34 . 2008-11-09 14:35        <DIR>        d--------        c:\programme\Picasa2
2008-11-09 14:34 . 2008-11-09 14:34        <DIR>        d--------        c:\programme\Google
2008-11-08 10:06 . 2008-11-18 22:32        <DIR>        d--------        c:\programme\Ragray
2008-11-07 18:26 . 2008-11-07 18:26        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe
2008-11-07 18:20 . 2008-11-08 09:22        <DIR>        d--------        c:\programme\NOS
2008-11-07 18:20 . 2008-11-08 09:22        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-05 16:26 . 2008-11-05 17:05        <DIR>        d--------        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-05 16:26 . 2008-11-05 17:05        <DIR>        d--------        c:\programme\DVDVideoSoft
2008-11-05 16:26 . 2008-11-19 15:03        <DIR>        d--------        C:\DVDVideoSoft
2008-11-05 16:05 . 2008-11-05 16:41        <DIR>        d--------        C:\Mp3 Output
2008-11-05 16:05 . 2006-11-01 14:52        765,952        --a------        c:\windows\system32\xvidcore.dll
2008-11-05 16:05 . 2007-02-25 15:36        383,238        --a------        c:\windows\system32\libmp3lame-0.dll
2008-11-02 18:44 . 2008-11-02 18:44        754        --a------        c:\windows\WORDPAD.INI
2008-10-31 15:43 . 2008-11-19 16:38        553        --a------        c:\windows\cdplayer.ini
2008-10-29 17:38 . 2008-10-29 17:38        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-10-29 16:19 . 2008-10-31 15:37        400        --a------        c:\windows\ODBC.INI
2008-10-29 16:02 . 2008-10-29 16:02        162        --a------        c:\windows\nsreg.dat
2008-10-29 16:01 . 2008-10-30 14:15        <DIR>        d--------        c:\programme\Microsoft ActiveSync
2008-10-29 16:01 . 2008-10-29 16:01        <DIR>        d--------        c:\programme\Common Files
2008-10-29 16:01 . 2008-10-30 14:15        <DIR>        d--------        c:\programme\AvantGo Connect
2008-10-29 16:01 . 1998-11-17 13:44        328,704        --a------        c:\windows\IsUn0407.exe
2008-10-29 16:01 . 2004-02-03 23:16        57,426        --a------        c:\windows\system32\MOBILEV.ACM
2008-10-29 16:01 . 2008-10-29 16:01        2,510        --a------        c:\windows\Microsoft.MIF
2008-10-29 15:49 . 2003-12-22 18:28        104,064        --a------        c:\windows\system32\drivers\wceusbsh.sys
2008-10-29 15:49 . 2003-12-22 18:28        104,064        --a--c---        c:\windows\system32\dllcache\wceusbsh.sys
2008-10-28 18:09 . 2001-08-18 04:53        8,704        --a------        c:\windows\system32\kbdjpn.dll
2008-10-28 18:09 . 2001-08-18 04:53        8,704        --a--c---        c:\windows\system32\dllcache\kbdjpn.dll
2008-10-28 18:09 . 2001-08-18 04:53        8,192        --a------        c:\windows\system32\kbdkor.dll
2008-10-28 18:09 . 2001-08-18 04:53        8,192        --a--c---        c:\windows\system32\dllcache\kbdkor.dll
2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a------        c:\windows\system32\kbd106.dll
2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a------        c:\windows\system32\kbd101c.dll
2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a------        c:\windows\system32\kbd101b.dll
2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a--c---        c:\windows\system32\dllcache\kbd106.dll
2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a--c---        c:\windows\system32\dllcache\kbd101c.dll
2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a--c---        c:\windows\system32\dllcache\kbd101b.dll
2008-10-28 18:09 . 2001-08-17 14:55        5,632        --a------        c:\windows\system32\kbd103.dll
2008-10-28 18:09 . 2001-08-17 14:55        5,632        --a--c---        c:\windows\system32\dllcache\kbd103.dll
2008-10-24 20:59 . 2001-08-17 13:02        9,600        --a------        c:\windows\system32\drivers\hidusb.sys
2008-10-24 20:59 . 2001-08-17 13:02        9,600        --a--c---        c:\windows\system32\dllcache\hidusb.sys
2008-10-24 16:19 . 2008-10-25 21:27        <DIR>        d--------        c:\programme\Project64 1.6
2008-10-23 15:48 . 2008-10-23 15:48        <DIR>        d--------        c:\dokumente und einstellungen\shefki\Anwendungsdaten\OpenOffice.org2
2008-10-22 16:55 . 2008-10-30 15:26        <DIR>        d--------        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\OpenOffice.org2
2008-10-22 16:52 . 2008-10-22 16:52        <DIR>        d--------        c:\programme\OpenOffice.org 2.2
2008-10-22 16:44 . 2000-01-04 22:20        86,016        --a------        c:\windows\unvise32qt.exe
2008-10-22 16:43 . 2008-10-22 16:44        <DIR>        d--------        c:\windows\system32\QuickTime
2008-10-22 16:43 . 2008-10-22 16:44        <DIR>        d--------        c:\programme\QuickTime
2008-10-22 16:43 . 2008-10-22 16:43        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\QuickTime
2008-10-22 16:43 . 2008-10-22 16:43        28,672        --a------        c:\windows\system32\qttask.exe
2008-10-22 16:43 . 2008-10-22 16:43        361        --a------        c:\windows\system32\QuickTime.qtp
2008-10-19 11:10 . 2004-08-03 23:58        16,384        --a------        c:\windows\system32\ipsink.ax
2008-10-19 11:10 . 2004-08-03 23:58        16,384        --a--c---        c:\windows\system32\dllcache\ipsink.ax
2008-10-19 11:10 . 2004-08-03 22:10        15,360        --a------        c:\windows\system32\drivers\StreamIP.sys
2008-10-19 11:10 . 2004-08-03 22:10        15,360        --a--c---        c:\windows\system32\dllcache\streamip.sys
2008-10-19 11:10 . 2004-08-03 22:10        11,136        --a------        c:\windows\system32\drivers\SLIP.sys
2008-10-19 11:10 . 2004-08-03 22:10        11,136        --a--c---        c:\windows\system32\dllcache\slip.sys
2008-10-19 11:10 . 2004-08-03 22:10        10,880        --a------        c:\windows\system32\drivers\NdisIP.sys
2008-10-19 11:10 . 2004-08-03 22:10        10,880        --a--c---        c:\windows\system32\dllcache\ndisip.sys
2008-10-19 11:10 . 2004-08-03 21:58        5,504        --a------        c:\windows\system32\drivers\MSTEE.sys
2008-10-19 11:10 . 2004-08-03 21:58        5,504        --a--c---        c:\windows\system32\dllcache\mstee.sys
2008-10-19 11:06 . 2002-07-03 10:44        53,248        --a------        c:\windows\amcap.exe
2008-10-19 11:05 . 2008-10-19 11:05        <DIR>        d--------        c:\programme\Gemeinsame Dateien\snpstd
2008-10-19 11:05 . 2008-10-19 11:05        <DIR>        d--------        C:\download
2008-10-19 11:05 . 2004-10-15 08:37        345,728        --a------        c:\windows\system32\drivers\snpstd.sys
2008-10-19 11:05 . 2004-06-10 12:48        286,720        --a------        c:\windows\vsnpstd.exe
2008-10-19 11:05 . 2004-09-24 10:12        61,440        --a------        c:\windows\system32\rsnpstd.dll
2008-10-19 11:05 . 2004-02-16 12:59        61,440        --a------        c:\windows\system32\csnpstd.dll
2008-10-19 11:05 . 2004-05-06 10:22        53,248        --a------        c:\windows\system32\dsnpstd.dll
2008-10-19 11:05 . 2004-09-24 09:58        36,864        --a------        c:\windows\system32\vsnpstd.dll
2008-10-19 11:05 . 2004-09-24 09:42        36,864        --a------        c:\windows\system32\dsnpstd.ax
2008-10-19 11:05 . 2004-02-23 14:19        20,480        --a------        c:\windows\usnpstd.exe
2008-10-19 11:05 . 2003-01-17 16:34        15,541        --a------        c:\windows\snpstd.ini
2008-10-19 11:05 . 2003-01-17 16:35        13,023        --a------        c:\windows\snpstd.src

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-18 21:55        ---------        d-----w        c:\programme\Gravity
2008-11-17 22:45        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\uTorrent
2008-11-04 12:41        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\ICQ
2008-11-04 05:05        65,536        ----a-w        c:\windows\IFinst27.exe
2008-10-19 10:05        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-10-17 18:00        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\InstallShield
2008-10-17 11:37        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\Yahoo!
2008-10-16 19:24        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\Yahoo!
2008-10-16 19:24        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-10-16 19:22        ---------        d-----w        c:\programme\Yahoo!
2008-10-16 19:22        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-10-16 13:44        ---------        d-----w        c:\programme\MSN Messenger
2008-10-16 13:21        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\MSNInstaller
2008-10-14 18:18        ---------        d-----w        c:\programme\ICQ6
2008-10-13 18:03        ---------        d-----w        c:\programme\uTorrent
2008-10-09 16:44        ---------        d-----w        c:\programme\Electronic Arts
2008-10-09 16:42        107,888        ----a-w        c:\windows\system32\CmdLineExt.dll
2008-10-09 16:42        1,960        ----a-w        c:\windows\system32\ealregsnapshot1.reg
2008-10-09 16:39        19,456        ----a-w        c:\windows\system32\mqrtdepd.dll
2008-10-09 16:36        ---------        d-----w        c:\programme\ProgramData
2008-10-09 12:34        ---------        d-----w        c:\programme\GpotatoEu
2008-10-06 17:49        ---------        d-----w        c:\programme\Windows Media Connect 2
2008-10-06 13:06        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\T-Online
2008-10-04 13:40        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2008-09-28 18:34        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\ICQ
2008-09-27 21:49        ---------        d-----w        c:\programme\Java
2008-09-27 21:49        ---------        d-----w        c:\programme\Gemeinsame Dateien\Java
2008-09-27 13:06        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\T-Online
2008-09-26 21:11        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2008-09-26 20:39        9        ----a-w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mdb.bin
2008-09-26 20:28        ---------        d-----w        c:\programme\eRightSoft
2008-09-26 20:16        499,712        ----a-w        c:\windows\system32\msvcp71.dll
2008-09-26 20:16        348,160        ----a-w        c:\windows\system32\msvcr71.dll
2008-09-26 20:16        ---------        d-----w        c:\programme\Gemeinsame Dateien\xing shared
2008-09-26 20:16        ---------        d-----w        c:\programme\Gemeinsame Dateien\Real
2008-09-26 13:06        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQLite
2008-09-26 10:42        ---------        d-----w        c:\programme\Gemeinsame Dateien\Nero
2008-09-26 10:41        ---------        d-----w        c:\programme\T-Online
2008-09-26 10:41        ---------        d-----w        c:\programme\Gemeinsame Dateien\Marmiko Shared
2008-09-26 10:30        ---------        d-----w        c:\programme\Gemeinsame Dateien\SWF Studio
2008-09-24 20:09        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online
2008-09-24 20:09        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\T-Online
2008-09-21 14:04        ---------        d-----w        c:\programme\MadOnion.com
2008-09-21 14:04        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2008-09-21 13:59        ---------        d-----w        c:\programme\C-Media 3D Audio
2008-09-21 13:58        ---------        d-----w        c:\programme\VIA
2008-09-21 13:51        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ahead



2008-09-21 13:50        ---------        d-----w        c:\programme\Nero
2008-09-21 13:50        ---------        d-----w        c:\programme\Gemeinsame Dateien\Ahead
2008-09-21 12:12        ---------        d-----w        c:\programme\microsoft frontpage
2008-09-21 12:10        ---------        d-----w        c:\programme\Online-Dienste
2008-09-21 12:09        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2006-05-03 10:06        163,328        --sh--r        c:\windows\system32\flvDX.dll
2007-02-21 11:47        31,232        --sh--r        c:\windows\system32\msfDX.dll
2007-12-17 13:43        27,648        --sh--w        c:\windows\system32\Smab0.dll
2008-02-04 19:26        151,040        --sh--w        c:\windows\system32\VistaUltm.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-11-11 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 282624]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-26 185872]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\T-Online\\T-Online_Software_6\\Browser\\dlman.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2008-09-21 9216]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2008-09-26 61440]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2008-09-26 17536]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2008-09-26 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2008-09-26 17152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv        REG_MULTI_SZ          Tapisrv

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Ilir\Anwendungsdaten\Mozilla\Firefox\Profiles\8xdyc3vr.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\np_gp.dll

FF -: plugin - c:\programme\Picasa2\npPicasa2.dll
FF -: plugin - c:\programme\Yahoo!\Shared\npYState.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 22:50:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-19 22:51:32
ComboFix-quarantined-files.txt  2008-11-19 21:51:15

Vor Suchlauf: 13 Verzeichnis(se), 17,404,669,952 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 19,204,534,272 Bytes frei

236
7)Klicke ich auf den link kommt folgendes(das wars dann aber auch):
Code:
del /f "%temp%"\listing.txt
echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOU ---" >> %temp%\listing.txt
cd %userprofile%
cd..
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt

Assetmoc 19.11.2008 23:26
8)Neue HiJackThis.log
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:15, on 19.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Ilir\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/40.14/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222452216796
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3E770E-DA62-4F48-940B-E17E3296B7A0}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

--
End of file - 5935 bytes
Soo,das wars nun endlich.Tut mir leid das ich dafür 3 posts machen musste aber war wohl zu lang. Hoffe man kann mir nun weiterhelfen.

cosinus 20.11.2008 17:27
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
files to delete:
C:\WINDOWS\system32\mqrtdepd.dll
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe
c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp
c:\windows\IFinst27.exe
c:\windows\system32\mqrtdepd.dll
c:\windows\system32\CmdLineExt.dll
c:\windows\system32\ealregsnapshot1.reg

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | Lsass Service
http://mitglied.lycos.de/efunction/tb/avenger.png
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
  • Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Assetmoc 20.11.2008 19:46
Gut also Avenger ergab folgendes:
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\mqrtdepd.dll" deleted successfully.

Error:  could not open file "C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe"
Deletion of file "C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  file "c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp" not found!
Deletion of file "c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\windows\IFinst27.exe" deleted successfully.

Error:  file "c:\windows\system32\mqrtdepd.dll" not found!
Deletion of file "c:\windows\system32\mqrtdepd.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\windows\system32\CmdLineExt.dll" deleted successfully.
File "c:\windows\system32\ealregsnapshot1.reg" deleted successfully.

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Lsass Service"
Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Lsass Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Und das Hijackthis.log dies hier:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:30, on 20.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\XXX\Desktop\qlketzd.com
C:\Dokumente und Einstellungen\XXX\Desktop\qlketzd(2).com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - h**p://picasaweb.google.de/s/v/40.14/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222452216796
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3E770E-DA62-4F48-940B-E17E3296B7A0}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

--
End of file - 5995 bytes
(glücklicherweise habe ich diesmal nur 1post gebraucht ;) )

cosinus 20.11.2008 19:59
Ok -das mit dem Filelisting war leider nicht ganz richtig. Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben

http://mitglied.lycos.de/efunction/tb/img/cmdsymbol.PNG

Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.

Assetmoc 20.11.2008 22:23
Ich hatte keinen Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden".
Tut mir leid aber ich weiss nicht was du mit CMD-Scrpit meinst oder wo die Datei sein soll..Kannst du mir das bitte simpler erklären??

cosinus 21.11.2008 10:28
In den Ordneroptionen ist sowas aber :rolleyes:

http://www.jacomet.ch/topweb/basic/b...eroptionen.gif

Assetmoc 21.11.2008 14:26
ich weiss ja nicht was das für ein bild sein soll,aber es wird mir nicht angezeigt

was meinst du jetzt mit ordneroptionen?? Ich hab den letzten schritt jetzt gar nicht verstanden; was soll ich jetzt nochmal tun??

cosinus 21.11.2008 20:53
Ach nöö...der Anti-Bilderklau-Mechnismus mal wieder :lmaa:

Man muss echt alles selber machen...tze. So hier das Bild meinte ich. Und den Punkt hast Du tatsächlich nicht?

http://mitglied.lycos.de/efunction/sonst/fileext.png

Assetmoc 21.11.2008 21:39
Hehe^^
Hab grade nochmal nachgesehen;da ist kein Haken.
Moment,den Punkt habe ich natürlich;sieht bei mir so aus:

http://www.pic-upload.de/21.11.08/et9wg1.JPG

cosinus 21.11.2008 21:56
Na also - wenn die nicht ausgeblendet werden, dann einfach die listing8.txt in listing8.cmd umbenennen. kann doch nicht so schwierig sein ;)

Assetmoc 22.11.2008 12:03
Achsooo ah ^^* kk danke
nur weiss ich leider immernoch nicht wo diese datei sein soll >listing8.txt<
hab auch suche gemacht aber hat nix gefunden das so heißt
wovon soll das denn sein??

Danke für deine Geduld bisher :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:18 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131