Trojaner-Board - TR/Hijack.AE

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Hijack.AE (https://www.trojaner-board.de/64399-tr-hijack-ae.html)

Guten Tag,

hab da ein kleines Problem: Mein Antivir meldet seit eben dass ich ein TR/Hijack.AE (was ist das??) auf dem Rechner hab.
Pfad der infizierten datei: C:\WINDOWS\system32\mqrtdepd.dll
Ich kann diesen virus allerdings nicht löschen oder in quarantäne verschieben oO

Hijack file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:01, on 13.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Ilir\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/40.14/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222452216796
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3E770E-DA62-4F48-940B-E17E3296B7A0}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7377 bytes

Ich hoffe jemand kann mir helfen

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\mqrtdepd.dll

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Ah vielen dank^^ verzeihung für die späte antwort aber hate einiges um die ohren. Habe alle Schritte so gut es ging befolgt:

1)VirusTotal
1.Alle Dateien werden angezeigt;2. virustotal zeigte wegen der ersten datei etwas ,die zweite existiert aber nicht.

Code:

MD5:          9dcc6f05dd2af62685e3ba64798873ff

First received:         2008.10.14 10:54:37 (CET)

Datum         2008.11.19 20:27:09 (CET) [<1D]

Ergebnisse         3/35

Permalink:         analisis/9e2b3a4f0e0dcd1b12e721454537eb0a
 

AntiVir        7.9.0.34        2008.11.19        TR/Hijack.AE

Ikarus        T3.1.1.45.0        2008.11.19        Trojan-Dropper.Agent

SecureWeb-Gateway        6.7.6        2008.11.19        Trojan.Hijack.AE
 

File size: 19456 bytes

MD5...: 9dcc6f05dd2af62685e3ba64798873ff

SHA1..: 284a9d9d9d179e28e2d30b1356940b4849109eef

SHA256: 0ceff84a6f1d5d43d09a47b254ec32043657d90ace6c9578c195e6d563a654ab

SHA512: d73e5755417cd19bf666991217b6e223f88bcf3c27018c40760148addac5edb9

9fb90e0ec7d1d8a8c985fd772bb428e20acca7572c4640db23a1b47ef2eae1ad

PEiD..: Armadillo v1.xx - v2.xx

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x36004151

timedatestamp.....: 0xde392d3fL (invalid)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x3c82 0x3e00 6.33 6006c52f9cf842968506a7882ba5de7c

.data 0x5000 0x13c 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d

.rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca

.reloc 0x7000 0x264 0x400 3.58 7dd464be2db863e1d0cf011fa39024f2
 

( 5 imports )

> ADVAPI32.dll: GetUserNameA

> USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA

> KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime

> WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState

> MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy
 

( 31 exports )

TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall

2)gemacht
3)Da kam dies hier raus

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

4.1)Blacklight

Code:

11/19/08 21:42:06 [Info]: BlackLight Engine 2.2.1092 initialized

11/19/08 21:42:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)

11/19/08 21:42:07 [Note]: 7019 4

11/19/08 21:42:07 [Note]: 7005 0

11/19/08 21:42:10 [Note]: 7006 0

11/19/08 21:42:10 [Note]: 7011 14108

11/19/08 21:42:10 [Note]: 7035 0

11/19/08 21:42:10 [Note]: 7026 0

11/19/08 21:42:11 [Note]: 7026 0

11/19/08 21:42:13 [Note]: FSRAW library version 1.7.1024

11/19/08 21:45:11 [Note]: 7007 0

4.2)Malwarebytes Antimalware

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1401

Windows 5.1.2600 Service Pack 2
 

19.11.2008 22:28:45

mbam-log-2008-11-19 (22-28-42).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|)

Durchsuchte Objekte: 145514

Laufzeit: 41 minute(s), 45 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Lsass Service (Trojan.Agent) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

5)SilentRunner

Code:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]

"Messenger (Yahoo!)" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}

"Lsass Service" = "C:\Dokumente und Einstellungen\Ilir\Anwendungsdaten\Microsoft\Windows\lsass.exe" [file not found]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]

"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Deutsche Telekom AG, Marmiko IT-Solutions GmbH"]

"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]

"snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string]

"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"

                   \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"

  -> {HKLM...CLSID} = "Adobe PDF Link Helper"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]

{3049C3E9-B461-4BC5-8870-4C09146192CA}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "RealPlayer Download and Record Plugin for Internet Explorer"

                   \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll" ["RealPlayer"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"

  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"

  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]

"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"

  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Ilir\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Enabled Screen Saver:

---------------------
 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

MSWPDShellNamespaceHandler\

"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"

"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"

"InitCmdLine" = " "

  -> {HKLM...CLSID} = "WPDShextAutoplay"

                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
 

NeroAutoPlay7CDAudio\

"Provider" = "Nero SoundTrax"

"InvokeProgID" = "Nero.AutoPlay3"

"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"

HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Nero\Nero 7\Nero SoundTrax\SoundTrax.exe /" ["Nero AG"]
 

NeroAutoPlay7CopyCD\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay3"

"InvokeVerb" = "PlayMusicFilesOnArrival_CopyCD"

HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayMusicFilesOnArrival_CopyCD\command\(Default) = "C:\Programme\Nero\Nero 7\Core\nero.exe /Dialog:DiscCopy /Drive:%L" ["Nero AG"]
 

NeroAutoPlay7PlayAudioCD\

"Provider" = "Nero SoundTrax"

"InvokeProgID" = "Nero.AutoPlay3"

"InvokeVerb" = "PlayCDAudioOnArrival_PlayAudioCD"

HKLM\SOFTWARE\Classes\Nero.AutoPlay3\shell\PlayCDAudioOnArrival_PlayAudioCD\command\(Default) = "C:\Programme\Nero\Nero 7\Nero SoundTrax\SoundTrax.exe /Play /Drive:%L" ["Nero AG"]
 

Picasa2ImportPicturesOnArrival\

"Provider" = "Picasa2"

"InvokeProgID" = "picasa2.autoplay"

"InvokeVerb" = "import"

HKLM\SOFTWARE\Classes\picasa2.autoplay\shell\import\command\(Default) = "C:\Programme\Picasa2\Picasa2.exe "%1"" ["Google Inc."]
 

RPCDBurningOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.CDBurn.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /burn "%1"" ["RealNetworks, Inc."]
 

RPDeviceOnArrival\

"Provider" = "RealPlayer"

"ProgID" = "RealPlayer.HWEventHandler"

HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"

  -> {HKLM...CLSID} = "RealNetworks Scheduler"

                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]
 

RPPlayCDAudioOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AudioCD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /play %1 " ["RealNetworks, Inc."]
 

RPPlayDVDMovieOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.DVD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /dvd %1 " ["RealNetworks, Inc."]
 

RPPlayMediaOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AutoPlay.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /autoplay "%1"" ["RealNetworks, Inc."]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"

  -> {HKLM...CLSID} = "Yahoo! Toolbar"

                   \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)

  -> {HKLM...CLSID} = "Yahoo! Toolbar"

                   \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]
 

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\

"ButtonText" = "ICQ Lite"

"MenuText" = "ICQ Lite"

"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]
 

{E59EB121-F339-4851-A3BA-FE49C35617C2}\

"ButtonText" = "ICQ6"

"MenuText" = "ICQ6"

"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Miscellaneous IE Hijack Points

------------------------------
 

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*b" (unwritable string)

  -> {HKLM...CLSID} = "Yahoo! Toolbar"

                   \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

T-Online WLAN Adapter Steuerungsdienst, MZCCntrl, "C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe" ["Deutsche Telekom AG, Marmiko IT-Solutions GmbH"]
 
 

---------- (launch time: 2008-11-19 22:16:45)

<<H>>: Suspicious data at a browser hijack point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 219 seconds.

---------- (total run time: 293 seconds)

6)CombiFix

Code:

ComboFix 08-11-18.A2 - Ilir 2008-11-19 22:48:00.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.662 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Ilir\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
 

----- BITS: Eventuell infizierte Webseiten -----
 

hxxp://kakoitodomen.com

.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-19 bis 2008-11-19  ))))))))))))))))))))))))))))))

.
 

2008-11-19 22:33 . 2008-11-19 22:33        <DIR>        d--------        c:\programme\CCleaner

2008-11-19 21:30 . 2008-11-19 21:30        <DIR>        d--------        c:\programme\Gameforge4D

2008-11-15 22:45 . 2008-11-15 22:58        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-11-15 22:45 . 2008-11-15 22:45        <DIR>        d--------        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\Malwarebytes

2008-11-15 22:45 . 2008-11-15 22:45        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-11-15 22:45 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-15 22:45 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-11-14 20:32 . 2008-11-14 20:32        <DIR>        d--------        c:\programme\ASCII

2008-11-14 20:32 . 2000-03-07 00:00        473,600        --a------        c:\windows\system32\Harmony.dll

2008-11-14 20:32 . 2000-03-07 00:00        237,568        --a------        c:\windows\system32\Unlha32.dll

2008-11-14 20:32 . 2000-07-08 15:06        87,040        --a------        c:\windows\UnGins.exe

2008-11-14 20:28 . 2008-11-14 20:28        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Enterbrain

2008-11-14 13:35 . 2008-11-14 13:35        <DIR>        d--------        c:\programme\Little Fighter 2.5 - v2.0

2008-11-13 15:52 . 2008-11-13 16:41        <DIR>        d-a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2008-11-10 20:16 . 2008-11-10 20:18        <DIR>        d--------        c:\dokumente und einstellungen\shefki\Anwendungsdaten\uTorrent

2008-11-09 14:35 . 2006-10-05 03:42        2,560        ---------        c:\windows\system32\drivers\cdralw2k.sys

2008-11-09 14:35 . 2006-10-05 03:42        2,432        ---------        c:\windows\system32\drivers\cdr4_xp.sys

2008-11-09 14:34 . 2008-11-09 14:35        <DIR>        d--------        c:\programme\Picasa2

2008-11-09 14:34 . 2008-11-09 14:34        <DIR>        d--------        c:\programme\Google

2008-11-08 10:06 . 2008-11-18 22:32        <DIR>        d--------        c:\programme\Ragray

2008-11-07 18:26 . 2008-11-07 18:26        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe

2008-11-07 18:20 . 2008-11-08 09:22        <DIR>        d--------        c:\programme\NOS

2008-11-07 18:20 . 2008-11-08 09:22        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS

2008-11-05 16:26 . 2008-11-05 17:05        <DIR>        d--------        c:\programme\Gemeinsame Dateien\DVDVideoSoft

2008-11-05 16:26 . 2008-11-05 17:05        <DIR>        d--------        c:\programme\DVDVideoSoft

2008-11-05 16:26 . 2008-11-19 15:03        <DIR>        d--------        C:\DVDVideoSoft

2008-11-05 16:05 . 2008-11-05 16:41        <DIR>        d--------        C:\Mp3 Output

2008-11-05 16:05 . 2006-11-01 14:52        765,952        --a------        c:\windows\system32\xvidcore.dll

2008-11-05 16:05 . 2007-02-25 15:36        383,238        --a------        c:\windows\system32\libmp3lame-0.dll

2008-11-02 18:44 . 2008-11-02 18:44        754        --a------        c:\windows\WORDPAD.INI

2008-10-31 15:43 . 2008-11-19 16:38        553        --a------        c:\windows\cdplayer.ini

2008-10-29 17:38 . 2008-10-29 17:38        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle

2008-10-29 16:19 . 2008-10-31 15:37        400        --a------        c:\windows\ODBC.INI

2008-10-29 16:02 . 2008-10-29 16:02        162        --a------        c:\windows\nsreg.dat

2008-10-29 16:01 . 2008-10-30 14:15        <DIR>        d--------        c:\programme\Microsoft ActiveSync

2008-10-29 16:01 . 2008-10-29 16:01        <DIR>        d--------        c:\programme\Common Files

2008-10-29 16:01 . 2008-10-30 14:15        <DIR>        d--------        c:\programme\AvantGo Connect

2008-10-29 16:01 . 1998-11-17 13:44        328,704        --a------        c:\windows\IsUn0407.exe

2008-10-29 16:01 . 2004-02-03 23:16        57,426        --a------        c:\windows\system32\MOBILEV.ACM

2008-10-29 16:01 . 2008-10-29 16:01        2,510        --a------        c:\windows\Microsoft.MIF

2008-10-29 15:49 . 2003-12-22 18:28        104,064        --a------        c:\windows\system32\drivers\wceusbsh.sys

2008-10-29 15:49 . 2003-12-22 18:28        104,064        --a--c---        c:\windows\system32\dllcache\wceusbsh.sys

2008-10-28 18:09 . 2001-08-18 04:53        8,704        --a------        c:\windows\system32\kbdjpn.dll

2008-10-28 18:09 . 2001-08-18 04:53        8,704        --a--c---        c:\windows\system32\dllcache\kbdjpn.dll

2008-10-28 18:09 . 2001-08-18 04:53        8,192        --a------        c:\windows\system32\kbdkor.dll

2008-10-28 18:09 . 2001-08-18 04:53        8,192        --a--c---        c:\windows\system32\dllcache\kbdkor.dll

2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a------        c:\windows\system32\kbd106.dll

2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a------        c:\windows\system32\kbd101c.dll

2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a------        c:\windows\system32\kbd101b.dll

2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a--c---        c:\windows\system32\dllcache\kbd106.dll

2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a--c---        c:\windows\system32\dllcache\kbd101c.dll

2008-10-28 18:09 . 2001-08-17 14:55        6,144        --a--c---        c:\windows\system32\dllcache\kbd101b.dll

2008-10-28 18:09 . 2001-08-17 14:55        5,632        --a------        c:\windows\system32\kbd103.dll

2008-10-28 18:09 . 2001-08-17 14:55        5,632        --a--c---        c:\windows\system32\dllcache\kbd103.dll

2008-10-24 20:59 . 2001-08-17 13:02        9,600        --a------        c:\windows\system32\drivers\hidusb.sys

2008-10-24 20:59 . 2001-08-17 13:02        9,600        --a--c---        c:\windows\system32\dllcache\hidusb.sys

2008-10-24 16:19 . 2008-10-25 21:27        <DIR>        d--------        c:\programme\Project64 1.6

2008-10-23 15:48 . 2008-10-23 15:48        <DIR>        d--------        c:\dokumente und einstellungen\shefki\Anwendungsdaten\OpenOffice.org2

2008-10-22 16:55 . 2008-10-30 15:26        <DIR>        d--------        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\OpenOffice.org2

2008-10-22 16:52 . 2008-10-22 16:52        <DIR>        d--------        c:\programme\OpenOffice.org 2.2

2008-10-22 16:44 . 2000-01-04 22:20        86,016        --a------        c:\windows\unvise32qt.exe

2008-10-22 16:43 . 2008-10-22 16:44        <DIR>        d--------        c:\windows\system32\QuickTime

2008-10-22 16:43 . 2008-10-22 16:44        <DIR>        d--------        c:\programme\QuickTime

2008-10-22 16:43 . 2008-10-22 16:43        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\QuickTime

2008-10-22 16:43 . 2008-10-22 16:43        28,672        --a------        c:\windows\system32\qttask.exe

2008-10-22 16:43 . 2008-10-22 16:43        361        --a------        c:\windows\system32\QuickTime.qtp

2008-10-19 11:10 . 2004-08-03 23:58        16,384        --a------        c:\windows\system32\ipsink.ax

2008-10-19 11:10 . 2004-08-03 23:58        16,384        --a--c---        c:\windows\system32\dllcache\ipsink.ax

2008-10-19 11:10 . 2004-08-03 22:10        15,360        --a------        c:\windows\system32\drivers\StreamIP.sys

2008-10-19 11:10 . 2004-08-03 22:10        15,360        --a--c---        c:\windows\system32\dllcache\streamip.sys

2008-10-19 11:10 . 2004-08-03 22:10        11,136        --a------        c:\windows\system32\drivers\SLIP.sys

2008-10-19 11:10 . 2004-08-03 22:10        11,136        --a--c---        c:\windows\system32\dllcache\slip.sys

2008-10-19 11:10 . 2004-08-03 22:10        10,880        --a------        c:\windows\system32\drivers\NdisIP.sys

2008-10-19 11:10 . 2004-08-03 22:10        10,880        --a--c---        c:\windows\system32\dllcache\ndisip.sys

2008-10-19 11:10 . 2004-08-03 21:58        5,504        --a------        c:\windows\system32\drivers\MSTEE.sys

2008-10-19 11:10 . 2004-08-03 21:58        5,504        --a--c---        c:\windows\system32\dllcache\mstee.sys

2008-10-19 11:06 . 2002-07-03 10:44        53,248        --a------        c:\windows\amcap.exe

2008-10-19 11:05 . 2008-10-19 11:05        <DIR>        d--------        c:\programme\Gemeinsame Dateien\snpstd

2008-10-19 11:05 . 2008-10-19 11:05        <DIR>        d--------        C:\download

2008-10-19 11:05 . 2004-10-15 08:37        345,728        --a------        c:\windows\system32\drivers\snpstd.sys

2008-10-19 11:05 . 2004-06-10 12:48        286,720        --a------        c:\windows\vsnpstd.exe

2008-10-19 11:05 . 2004-09-24 10:12        61,440        --a------        c:\windows\system32\rsnpstd.dll

2008-10-19 11:05 . 2004-02-16 12:59        61,440        --a------        c:\windows\system32\csnpstd.dll

2008-10-19 11:05 . 2004-05-06 10:22        53,248        --a------        c:\windows\system32\dsnpstd.dll

2008-10-19 11:05 . 2004-09-24 09:58        36,864        --a------        c:\windows\system32\vsnpstd.dll

2008-10-19 11:05 . 2004-09-24 09:42        36,864        --a------        c:\windows\system32\dsnpstd.ax

2008-10-19 11:05 . 2004-02-23 14:19        20,480        --a------        c:\windows\usnpstd.exe

2008-10-19 11:05 . 2003-01-17 16:34        15,541        --a------        c:\windows\snpstd.ini

2008-10-19 11:05 . 2003-01-17 16:35        13,023        --a------        c:\windows\snpstd.src
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-18 21:55        ---------        d-----w        c:\programme\Gravity

2008-11-17 22:45        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\uTorrent

2008-11-04 12:41        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\ICQ

2008-11-04 05:05        65,536        ----a-w        c:\windows\IFinst27.exe

2008-10-19 10:05        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-10-17 18:00        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\InstallShield

2008-10-17 11:37        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\Yahoo!

2008-10-16 19:24        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\Yahoo!

2008-10-16 19:24        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion

2008-10-16 19:22        ---------        d-----w        c:\programme\Yahoo!

2008-10-16 19:22        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!

2008-10-16 13:44        ---------        d-----w        c:\programme\MSN Messenger

2008-10-16 13:21        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\MSNInstaller

2008-10-14 18:18        ---------        d-----w        c:\programme\ICQ6

2008-10-13 18:03        ---------        d-----w        c:\programme\uTorrent

2008-10-09 16:44        ---------        d-----w        c:\programme\Electronic Arts

2008-10-09 16:42        107,888        ----a-w        c:\windows\system32\CmdLineExt.dll

2008-10-09 16:42        1,960        ----a-w        c:\windows\system32\ealregsnapshot1.reg

2008-10-09 16:39        19,456        ----a-w        c:\windows\system32\mqrtdepd.dll

2008-10-09 16:36        ---------        d-----w        c:\programme\ProgramData

2008-10-09 12:34        ---------        d-----w        c:\programme\GpotatoEu

2008-10-06 17:49        ---------        d-----w        c:\programme\Windows Media Connect 2

2008-10-06 13:06        ---------        d-----w        c:\dokumente und einstellungen\Ilir\Anwendungsdaten\T-Online

2008-10-04 13:40        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia

2008-09-28 18:34        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\ICQ

2008-09-27 21:49        ---------        d-----w        c:\programme\Java

2008-09-27 21:49        ---------        d-----w        c:\programme\Gemeinsame Dateien\Java

2008-09-27 13:06        ---------        d-----w        c:\dokumente und einstellungen\shefki\Anwendungsdaten\T-Online

2008-09-26 21:11        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ

2008-09-26 20:39        9        ----a-w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mdb.bin

2008-09-26 20:28        ---------        d-----w        c:\programme\eRightSoft

2008-09-26 20:16        499,712        ----a-w        c:\windows\system32\msvcp71.dll

2008-09-26 20:16        348,160        ----a-w        c:\windows\system32\msvcr71.dll

2008-09-26 20:16        ---------        d-----w        c:\programme\Gemeinsame Dateien\xing shared

2008-09-26 20:16        ---------        d-----w        c:\programme\Gemeinsame Dateien\Real

2008-09-26 13:06        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQLite

2008-09-26 10:42        ---------        d-----w        c:\programme\Gemeinsame Dateien\Nero

2008-09-26 10:41        ---------        d-----w        c:\programme\T-Online

2008-09-26 10:41        ---------        d-----w        c:\programme\Gemeinsame Dateien\Marmiko Shared

2008-09-26 10:30        ---------        d-----w        c:\programme\Gemeinsame Dateien\SWF Studio

2008-09-24 20:09        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online

2008-09-24 20:09        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\T-Online

2008-09-21 14:04        ---------        d-----w        c:\programme\MadOnion.com

2008-09-21 14:04        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield

2008-09-21 13:59        ---------        d-----w        c:\programme\C-Media 3D Audio

2008-09-21 13:58        ---------        d-----w        c:\programme\VIA

2008-09-21 13:51        ---------        d-----w        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ahead
 
 
 

2008-09-21 13:50        ---------        d-----w        c:\programme\Nero

2008-09-21 13:50        ---------        d-----w        c:\programme\Gemeinsame Dateien\Ahead

2008-09-21 12:12        ---------        d-----w        c:\programme\microsoft frontpage

2008-09-21 12:10        ---------        d-----w        c:\programme\Online-Dienste

2008-09-21 12:09        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste

2006-05-03 10:06        163,328        --sh--r        c:\windows\system32\flvDX.dll

2007-02-21 11:47        31,232        --sh--r        c:\windows\system32\msfDX.dll

2007-12-17 13:43        27,648        --sh--w        c:\windows\system32\Smab0.dll

2008-02-04 19:26        151,040        --sh--w        c:\windows\system32\VistaUltm.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-11-11 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]

"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 282624]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-26 185872]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= i420vfw.dll

"MSACM.CEGSM"= mobilev.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\ICQ6\\ICQ.exe"=

"c:\\Programme\\T-Online\\T-Online_Software_6\\Browser\\dlman.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
 

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2008-09-21 9216]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2008-09-26 61440]

R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2008-09-26 17536]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2008-09-26 17280]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2008-09-26 17152]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

tapisrv        REG_MULTI_SZ           Tapisrv
 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-Cmaudio - cmicnfg.cpl
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\Ilir\Anwendungsdaten\Mozilla\Firefox\Profiles\8xdyc3vr.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de

FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\np_gp.dll
 

FF -: plugin - c:\programme\Picasa2\npPicasa2.dll

FF -: plugin - c:\programme\Yahoo!\Shared\npYState.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-19 22:50:16

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 
 

c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 1
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-19 22:51:32

ComboFix-quarantined-files.txt  2008-11-19 21:51:15
 

Vor Suchlauf: 13 Verzeichnis(se), 17,404,669,952 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 19,204,534,272 Bytes frei
 

236

7)Klicke ich auf den link kommt folgendes(das wars dann aber auch):

Code:

del /f "%temp%"\listing.txt

echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt
 

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt

%systemdrive%

cd\

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ SYSTEM32 ---" >> %temp%\listing.txt

cd %windir%

cd system32

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt

cd %windir%

cd "Downloaded Installations"

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt

cd %windir%

cd "Downloaded Program Files"

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt

cd %windir%

cd system32

cd drivers

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ PREFETCH ---" >> %temp%\listing.txt

cd %windir%

cd prefetch

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ TASKS ---" >> %temp%\listing.txt

cd %windir%

cd tasks

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDIR ---" >> %temp%\listing.txt

cd %windir%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt

cd system

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt

cd %windir%

cd temp

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ USER\TEMP ---" >> %temp%\listing.txt

cd %temp%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ PROGRAMS ---" >> %temp%\listing.txt

cd %programfiles%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ ALLUSERS ---" >> %temp%\listing.txt

cd %allusersprofile%

cd anwendungsdaten

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ USERS ---" >> %temp%\listing.txt

cd %userprofile%

cd anwendungsdaten

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOU ---" >> %temp%\listing.txt

cd %userprofile%

cd..

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

cd %temp%

copy /y listing.txt "%userprofile%"\desktop\listing.txt

8)Neue HiJackThis.log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:07:15, on 19.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\vsnpstd.exe

C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe

C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Ilir\Desktop\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/40.14/uploader2.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222452216796

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3E770E-DA62-4F48-940B-E17E3296B7A0}: NameServer = 217.237.150.115 217.237.151.205

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
 

--

End of file - 5935 bytes

Soo,das wars nun endlich.Tut mir leid das ich dafür 3 posts machen musste aber war wohl zu lang. Hoffe man kann mir nun weiterhelfen.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete:

C:\WINDOWS\system32\mqrtdepd.dll

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe

c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp

c:\windows\IFinst27.exe

c:\windows\system32\mqrtdepd.dll

c:\windows\system32\CmdLineExt.dll

c:\windows\system32\ealregsnapshot1.reg
 

registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | Lsass Service

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Gut also Avenger ergab folgendes:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\WINDOWS\system32\mqrtdepd.dll" deleted successfully.
 

Error:  could not open file "C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe"

Deletion of file "C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Windows\lsass.exe" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

  --> bad path / the parent directory does not exist
 
 

Error:  file "c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp" not found!

Deletion of file "c:\dokume~1\Ilir\LOKALE~1\Temp\RGIE3.tmp" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "c:\windows\IFinst27.exe" deleted successfully.
 

Error:  file "c:\windows\system32\mqrtdepd.dll" not found!

Deletion of file "c:\windows\system32\mqrtdepd.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "c:\windows\system32\CmdLineExt.dll" deleted successfully.

File "c:\windows\system32\ealregsnapshot1.reg" deleted successfully.
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Lsass Service"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Lsass Service" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Und das Hijackthis.log dies hier:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:43:30, on 20.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\vsnpstd.exe

C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe

C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\XXX\Desktop\qlketzd.com

C:\Dokumente und Einstellungen\XXX\Desktop\qlketzd(2).com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - h**p://picasaweb.google.de/s/v/40.14/uploader2.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222452216796

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=23100

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3E770E-DA62-4F48-940B-E17E3296B7A0}: NameServer = 217.237.150.115 217.237.151.205

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
 

--

End of file - 5995 bytes

(glücklicherweise habe ich diesmal nur 1post gebraucht ;) )

Ok -das mit dem Filelisting war leider nicht ganz richtig. Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben

http://mitglied.lycos.de/efunction/tb/img/cmdsymbol.PNG

Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.

Ich hatte keinen Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden".
Tut mir leid aber ich weiss nicht was du mit CMD-Scrpit meinst oder wo die Datei sein soll..Kannst du mir das bitte simpler erklären??

In den Ordneroptionen ist sowas aber :rolleyes:

http://www.jacomet.ch/topweb/basic/b...eroptionen.gif

ich weiss ja nicht was das für ein bild sein soll,aber es wird mir nicht angezeigt

was meinst du jetzt mit ordneroptionen?? Ich hab den letzten schritt jetzt gar nicht verstanden; was soll ich jetzt nochmal tun??

Ach nöö...der Anti-Bilderklau-Mechnismus mal wieder :lmaa:

Man muss echt alles selber machen...tze. So hier das Bild meinte ich. Und den Punkt hast Du tatsächlich nicht?

http://mitglied.lycos.de/efunction/sonst/fileext.png

Hehe^^
Hab grade nochmal nachgesehen;da ist kein Haken.
Moment,den Punkt habe ich natürlich;sieht bei mir so aus:

http://www.pic-upload.de/21.11.08/et9wg1.JPG

Na also - wenn die nicht ausgeblendet werden, dann einfach die listing8.txt in listing8.cmd umbenennen. kann doch nicht so schwierig sein ;)

Achsooo ah ^^* kk danke
nur weiss ich leider immernoch nicht wo diese datei sein soll >listing8.txt<
hab auch suche gemacht aber hat nix gefunden das so heißt
wovon soll das denn sein??

Danke für deine Geduld bisher :daumenhoc

Das ist doch unter Punkt (7) in meiner Anleitunf beschrieben!!
Das verlinkte Script mit Rechtsklick, Ziel speichern unter auf dem Desktop abspeichern, (hast Du wohl scgin gemacht) aber sicherstellen, dass die heruntergeladene Datei listing8.cmd heißt und eben nicht die Endung .txt hat!!

Wenn Du das Script (listing8.cmd) durch einen Doppelklick dann ausgeführt hast, erscheint für kurze Zeit das kleine schwarze Konsolenfenster, wenns weg ist, sollte eine zusätzlich noch eine listing.txt auf Dem Desktop sein...deren Inhalt posten.

Hab ich gemacht ,die datei ist jetzt auch auf meinem desktop.
allerdings ist es ,obwohl es die .cmd endung hat, ein textdokument..

Was ist jetzt ein Textdokument? Listing8 oder listing.txt?

listing8 = das script was ausgeführt werden soll, soll die Endung .cmd haben
listing = Output des scriptes, soll die Endung .txt haben

Letzteres solltest Du hochladen und hier verlinken. Kann doch nicht so schwierig sein.

Was ich gemacht habe: Rechtsklick-Ziel speicher unter-Desktop
Rausgekommen ist das hier:
http://www.pic-upload.de/24.11.08/oet1mw.JPG
Der inhalt vom dem Dokument ist dies hier:

Code:

del /f "%temp%"\listing.txt

echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt
 

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt

%systemdrive%

cd\

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ SYSTEM32 ---" >> %temp%\listing.txt

cd %windir%

cd system32

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt

cd %windir%

cd "Downloaded Installations"

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt

cd %windir%

cd "Downloaded Program Files"

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt

cd %windir%

cd system32

cd drivers

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ PREFETCH ---" >> %temp%\listing.txt

cd %windir%

cd prefetch

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ TASKS ---" >> %temp%\listing.txt

cd %windir%

cd tasks

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDIR ---" >> %temp%\listing.txt

cd %windir%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt

cd system

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt

cd %windir%

cd temp

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ USER\TEMP ---" >> %temp%\listing.txt

cd %temp%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ PROGRAMS ---" >> %temp%\listing.txt

cd %programfiles%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ ALLUSERS ---" >> %temp%\listing.txt

cd %allusersprofile%

cd anwendungsdaten

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ USERS ---" >> %temp%\listing.txt

cd %userprofile%

cd anwendungsdaten

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOU ---" >> %temp%\listing.txt

cd %userprofile%

cd..

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

cd %temp%

copy /y listing.txt "%userprofile%"\desktop\listing.txt

Genau das ist mein Script. :D
Mach aus der listing.8.cmd.txt bitte listing8.cmd, dann hat sie auch das entsprechende Symbol. :rolleyes:

Ach, nimm diesen Link

ok hier der link
File-Upload.net - listing.txt

hoffe diesmal ist es richtig ^^*

Na endlich :uglyhammer: :aplaus:
War doch garnicht so schwer oder? :aplaus:

xDD Jajajaja hat auch lang genug gedauert ,sorry ;)

Wars das jetzt oder muss ich noch was machen??

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\deploytk.dll

C:\WINDOWS\system32\rmoc3260.dll

C:\Windows\system32\NULL

C:\WINDOWS\system32\drivers\secdrv.sys

ok hier VirusTotal
1)C:\WINDOWS\system32\deploytk.dll

Code:

MD5...: 9d819b4ca8ed1010c5fa248bc1a75b9a

SHA1..: 2d77ff8ac23d32cbaa5581c1aafe8e432104ce34

SHA256: a72653ddb0485f0acb5df72fdf8e2876c67b078c4040dea382ce81897e9b58fa

SHA512: 8af2751d7d177fd335757b00fc80d257bd564afcaaf3141165bfde937051a66b

2d4c1ddd6970103e6139c498136a7299c28cb42ec6313b8d019e6a94193c4e5f

ssdeep: 6144:ztHJcBYwcG1f2UIEhWTx0AvU9hT7yy8R0cSjvj4k:t6zh2EhWTHvU9hT7yy

8R0njMk

PEiD..: -

TrID..: File type identification

DirectShow filter (53.7%)

Windows OCX File (32.9%)

Win32 Executable MS Visual C++ (generic) (10.0%)

Win32 Executable Generic (2.2%)

Generic Win/DOS Executable (0.5%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x10017273

timedatestamp.....: 0x48dcb760 (Fri Sep 26 10:20:16 2008)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x20d2a 0x21000 6.59 0dc24e7aa8f7843b58e8cce74dff3c48

.rdata 0x22000 0x7915 0x8000 5.10 cbb69fec91f392e32d4bf34978df9965

.data 0x2a000 0x327c 0x2000 3.25 83668cc1bdff8dbf0af10edea3b71ad7

.rsrc 0x2e000 0x32370 0x33000 4.01 067eff9128f3278c56ba1b8aebaa8487

.reloc 0x61000 0x322a 0x4000 4.90 174e9dc06c939285eb6b8781de3ac1e1
 

( 14 imports )

> ADVAPI32.dll: RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegSetValueExA, RegQueryInfoKeyA, RegEnumKeyExA, RegQueryValueExA, RegQueryValueA

> urlmon.dll: IsValidURL

> WININET.dll: InternetCrackUrlA, InternetCloseHandle, InternetReadFile, InternetTimeToSystemTime, HttpQueryInfoA, InternetErrorDlg, HttpSendRequestA, HttpAddRequestHeadersA, InternetTimeFromSystemTime, HttpOpenRequestA, InternetConnectA, InternetOpenA

> SHLWAPI.dll: PathFileExistsA

> COMCTL32.dll: -

> WINTRUST.dll: WinVerifyTrust

> WSOCK32.dll: -, -, -, -

> CRYPT32.dll: CryptMsgGetParam, CertOpenSystemStoreA, CertGetNameStringW, CertCloseStore, CryptMsgClose, CertFindCertificateInStore, CryptQueryObject, CertGetEnhancedKeyUsage

> SHELL32.dll: ShellExecuteExA, SHGetFileInfoA

> KERNEL32.dll: QueryPerformanceCounter, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, RaiseException, InitializeCriticalSection, DeleteCriticalSection, MultiByteToWideChar, lstrlenA, GetModuleFileNameA, WideCharToMultiByte, lstrlenW, EnterCriticalSection, LeaveCriticalSection, GetLastError, HeapFree, GetProcessHeap, lstrcmpiA, DisableThreadLibraryCalls, InterlockedIncrement, InterlockedDecrement, lstrcpynA, IsDBCSLeadByte, MulDiv, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, HeapAlloc, FlushInstructionCache, GetCurrentProcess, GetCurrentThreadId, GetLongPathNameA, WaitForSingleObject, CloseHandle, GetExitCodeProcess, CreateProcessA, GlobalAlloc, lstrcmpA, GetTickCount, GetProcAddress, LoadLibraryA, LockResource, GlobalUnlock, GlobalLock, GetTempPathA, SetLastError, GlobalFree, GlobalHandle, GetTempFileNameA, lstrcatA, WriteFile, SetEndOfFile, SetFilePointer, CompareFileTime, SystemTimeToFileTime, Sleep, FileTimeToSystemTime, GetFileTime, GetFileSize, CreateFileA, lstrcpyA, SetEvent, CreateThread, CreateEventA, GlobalMemoryStatus, UnhandledExceptionFilter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, ReadFile, GetCPInfo, GetOEMCP, LCMapStringW, LCMapStringA, SetUnhandledExceptionFilter, TlsGetValue, TlsSetValue, TlsFree, TlsAlloc, HeapSize, TerminateProcess, IsBadWritePtr, VirtualFree, HeapCreate, HeapDestroy, ExitProcess, GetCommandLineA, GetSystemTimeAsFileTime, HeapReAlloc, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, RtlUnwind, GetCurrentProcessId, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, GetTimeZoneInformation, CompareStringA, CompareStringW, SetEnvironmentVariableA, FindClose, FileTimeToLocalFileTime, GetDriveTypeA, FindFirstFileA, GetFullPathNameA, GetCurrentDirectoryA, GetDiskFreeSpaceA

> USER32.dll: DestroyWindow, DefWindowProcA, PtInRect, CharNextA, UnregisterClassA, SetWindowPos, SetWindowRgn, OffsetRect, EqualRect, IntersectRect, ReleaseDC, GetDC, SetWindowLongA, GetWindowLongA, GetCursorPos, SetCursor, MapDialogRect, SetWindowContextHelpId, GetDlgCtrlID, LoadBitmapA, PostMessageA, EnableWindow, KillTimer, SetTimer, MessageBoxA, DialogBoxIndirectParamA, RegisterWindowMessageA, UnionRect, GetWindowTextLengthA, GetWindowTextA, SetWindowTextA, CreateAcceleratorTableA, GetActiveWindow, GetClassNameA, RedrawWindow, GetDlgItem, SendMessageA, DestroyAcceleratorTable, GetDesktopWindow, InvalidateRgn, FillRect, SetCapture, ReleaseCapture, DialogBoxParamA, GetSysColor, SendDlgItemMessageA, GetWindow, GetWindowRect, SystemParametersInfoA, EndDialog, LoadStringA, MsgWaitForMultipleObjects, IsWindowUnicode, GetMessageW, GetMessageA, TranslateMessage, DispatchMessageW, DispatchMessageA, PeekMessageA, RegisterClassExA, GetClassInfoExA, LoadCursorA, wsprintfA, CreateWindowExA, GetParent, SetFocus, ShowWindow, GetFocus, IsChild, BeginPaint, GetClientRect, EndPaint, GetKeyState, InvalidateRect, IsWindow, CallWindowProcA, MapWindowPoints

> ole32.dll: CoTaskMemRealloc, CoCreateInstance, OleRegEnumVerbs, OleRegGetUserType, CoTaskMemFree, CoTaskMemAlloc, CreateOleAdviseHolder, OleRegGetMiscStatus, OleLoadFromStream, WriteClassStm, OleSaveToStream, CLSIDFromString, StringFromGUID2, OleLockRunning, CreateStreamOnHGlobal, CoGetClassObject, CLSIDFromProgID, OleInitialize, OleUninitialize

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

> GDI32.dll: CreateCompatibleBitmap, SelectObject, BitBlt, GetObjectA, GetStockObject, CreateSolidBrush, DeleteObject, CreateDCA, CreateFontIndirectA, DPtoLP, ModifyWorldTransform, SetGraphicsMode, StretchBlt, SetBkMode, SetTextColor, GetDeviceCaps, LPtoDP, SaveDC, SetMapMode, SetWindowOrgEx, SetViewportOrgEx, DeleteDC, RestoreDC, CreateCompatibleDC, CreateRectRgnIndirect
 

( 4 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

(Kein Antivirus programm ergab ein Ergebnis)
2)C:\WINDOWS\system32\rmoc3260.dll

Code:

MD5...: e429c6a2b65fb276fbb0e3c005fd3c10

SHA1..: 92262cd4e1706726831ab28656774de11af9799f

SHA256: c52adc0cac5b701c80b2425328902865ff18799632570d9d662d0361c472fd75

SHA512: 7c623b0f1ea410845937b9e0f2c8737fc29bd5e27e3c4f3d2045dfa099ce75e2

4e5e7e827ada2e5ea620475454df2c5bbe533357c5dfcc77d5fc27898516b140

ssdeep: 3072:wqxtZO4f+Iq9aI+h9D1K0Op9WIRnGpdkw4oN4mHcnE:VxrOosQIgI0Op9WI

RnGpdkw4O

PEiD..: -

TrID..: File type identification

DirectShow filter (52.6%)

Windows OCX File (32.2%)

Win32 Executable MS Visual C++ (generic) (9.8%)

Win32 Executable Generic (2.2%)

Win32 Dynamic Link Library (generic) (1.9%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x63ab9e44

timedatestamp.....: 0x48c8266b (Wed Sep 10 19:56:27 2008)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1ac67 0x1b000 6.31 f9784ca9d8603912c6caf595c5f57a9d

.rdata 0x1c000 0x3785 0x4000 5.49 37288aaf1dc6d9c415073deba8de8faa

.data 0x20000 0x7e8 0x1000 1.99 43968b3091ed83f61efe9b6c04d40dc5

.rsrc 0x21000 0x71c0 0x8000 4.58 bfb7f63434161e578e298d351bf7b459

.reloc 0x29000 0x216a 0x3000 4.63 2efafac5ed62ad00d352246586cc6aab
 

( 9 imports )

> ole32.dll: CoGetMalloc, CoTaskMemFree, CreateBindCtx, CreateOleAdviseHolder, CoCreateInstance, CoTaskMemAlloc

> KERNEL32.dll: GetLastError, GetLocaleInfoA, lstrcatA, SetErrorMode, GetSystemInfo, GetVersionExA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, GetFileSize, CreateFileA, CloseHandle, GetTempFileNameA, GetTempPathA, InterlockedDecrement, GetModuleFileNameA, GetEnvironmentVariableA, LeaveCriticalSection, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, ExitProcess, EnterCriticalSection, lstrcpyA, lstrlenA, MultiByteToWideChar, WideCharToMultiByte, GetVersion, lstrlenW, lstrcmpA, WinExec, DeleteFileA, GetProcAddress, LoadLibraryA, FreeLibrary, CreateThread, DeleteCriticalSection, InitializeCriticalSection, InterlockedIncrement

> USER32.dll: InvalidateRect, UpdateWindow, LoadCursorA, SetFocus, EnumChildWindows, CharPrevA, CharNextA, wsprintfA, CreateDialogParamA, IsDialogMessageA, WinHelpA, UnregisterClassA, ReleaseDC, GetDC, PtInRect, IsWindowVisible, GetParent, SendMessageA, CopyRect, BeginPaint, EndPaint, SetParent, DefWindowProcA, CreateWindowExA, GetKeyState, GetSystemMetrics, GetActiveWindow, GetWindowLongA, ShowWindow, EqualRect, OffsetRect, SetWindowRgn, SetWindowLongA, DestroyWindow, GetWindowRect, MapWindowPoints, SetWindowPos, LoadStringA, GetDlgItemTextA, SetDlgItemTextA, GetClientRect, GetClipboardFormatNameA, GetSysColor, FillRect, IntersectRect, RegisterClassA

> ADVAPI32.dll: RegEnumKeyExA, RegSetValueExA, RegDeleteValueA, RegCreateKeyExA, RegOpenKeyExA, RegOpenKeyA, RegDeleteKeyA, RegCreateKeyA, RegQueryValueExA, RegQueryValueA, RegSetValueA, RegEnumKeyA, RegCloseKey

> GDI32.dll: CreateSolidBrush, CreateRectRgnIndirect, SetViewportOrgEx, SetWindowOrgEx, SetMapMode, CreateDCA, DeleteDC, LPtoDP, GetDeviceCaps, DeleteObject

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

> urlmon.dll: URLDownloadToCacheFileA, RegisterBindStatusCallback, CreateURLMoniker, HlinkSimpleNavigateToString

> MSVCR71.dll: _ismbcspace, memmove, _vsnprintf, strncmp, _CxxThrowException, __0exception@@QAE@ABV0@@Z, strchr, isdigit, _stricmp, __1exception@@UAE@XZ, printf, getenv, realloc, strstr, atoi, _lseeki64, _telli64, __security_error_handler, _except_handler3, __dllonexit, _onexit, _initterm, _adjust_fdiv, __CppXcptFilter, _unlink, __1type_info@@UAE@XZ, _terminate@@YAXXZ, __CxxFrameHandler, _errno, __0exception@@QAE@XZ, _fstat, _strnicmp, _putenv, _strcmpi, _close, _creat, _chsize, _open, _sopen, _lseek, _tell, _read, _write, strncat, __2@YAPAXI@Z, _snprintf, atol, sprintf, ___V@YAXPAX@Z, ___U@YAPAXI@Z, _purecall, wcslen, wcsncpy, strncpy, strrchr, __3@YAXPAX@Z, free, malloc

> MSVCP71.dll: __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z
 

( 4 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

(Kein Antivirus programm ergab ein Ergebnis)
3)C:\Windows\system32\NULL

Code:

MD5...: d126c4a0b1b0db8c92c8515db10a53d9

SHA1..: 85bfa86d3e65f7e54e0a0688c62ecd9fcfc6af31

SHA256: 25930d0a3f280d59a2b90272d3460a8174e81c72c89403e79bddb76636d341a8

SHA512: 1fac20da181528925ec6a393e01e59d93404ab5529272e67b5940f77573dd8ad

66c1e2af7a1d836a3357866669a8cb0703c981c9ec69651c45e976018b73186a

ssdeep: 3072:gFACUsE4LyyuTDrtFogEmiYBVlPuvXH5NLqSGhqYZgQBeUgRkKcJ4TT/N3h

BuxPB:x

PEiD..: -

TrID..: File type identification

Unknown!

PEInfo: -

(Kein Antivirus programm ergab ein Ergebnis)
4)C:\WINDOWS\system32\drivers\secdrv.sys

Code:

MD5...: ba0d892d2f786bcebdf03b0a252b47f3

SHA1..: 0383b69f98d0a9c0383c8130d52d6b431c79ac48

SHA256: 4ed103bd45ece4d2b6029c36d0e209c8a6f1c34e0f72b01553742773cb1f43a1

SHA512: b57722c9dac359fdba24bfb17454f2b1f14c3b309ddc7cbbcc27a1b55f8233d9

6775fbf7fb69038d889dd9671de7c955dfdb0422030a2fb9d2262ef675744ec0

ssdeep: 384:lmRAXETwO/AyxL1zaUdzUaLPa71XoJczVZ3wFQ1J:iT3AyzaozbLPgNoJ+pw

FQb

PEiD..: -

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x123a0

timedatestamp.....: 0x3dd38e7e (Thu Nov 14 11:52:30 2002)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x280 0x1b49 0x1b60 6.33 f46f58aed2dd87017f4a1f3b89cfffd6

.data 0x1de0 0x5b8 0x5c0 1.52 e76aaf59799fab4f6466637871812eb4

INIT 0x23a0 0x1f2 0x200 5.25 54cfd402b8213a6595784f687ed9dd43

.rsrc 0x25a0 0x408 0x420 3.32 784638d9652c444c84e21fcec74aca42

.reloc 0x29c0 0x1ae 0x1c0 5.54 eb43e1ece983474e97a1fb8920fd1868
 

( 1 imports )

> ntoskrnl.exe: IoDeleteSymbolicLink, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, RtlEqualUnicodeString, NtBuildNumber, RtlQueryRegistryValues, PsGetVersion, KeTickCount, MmIsAddressValid, RtlUnwind, ExAllocatePoolWithTag, ExFreePool, IofCompleteRequest

(Kein Antivirus programm ergab ein Ergebnis)

Dann gehen wir mal davon aus, dass die Dateien wahrscheinlich okay sind. Wie ist es denn nun um Deinen Rechner bestellt? Alles ok mittlerweile?

Ich hab ja eigentlich nichts gemerkt,nur hat mein Antivir gespinnt.
Sonst hätt ich ja nichts gemerkt^^

Ich hatte mein AntiVir deinstalliert weil sonst eins von den Programmen,die ich benutzen sollte,nicht funktioniert hätte.Soll ich das wieder installieren oder reciht Cleaner??

Cleaner? wtf? :confused:
Hört sich nicht gerad nach nem Virenscanner an. :rolleyes:

Ach schon ok,ich installierein einfach wieder antivir^^

Also vielen Dank für deine Hilfe :) Echt super von dir^^