Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/Obfuscated.vji.1 kommt immer wieder! (https://www.trojaner-board.de/65131-trojaner-tr-obfuscated-vji-1-kommt-immer.html)

Flou 25.11.2008 14:14
Trojaner TR/Obfuscated.vji.1 kommt immer wieder!
 
Hallo Leute,

habe seit ein paar Tagen das Problem, dass Antivir in unregelmäßigen Abständen von ca 30min ständig diesen Trojaner findet. Löschen/Quarantäne oder Zugriff verweigern brachte bisher keinen Erfolg.
Da bereits ein anderer user in diesem Forum das gleiche Problem hatte, habe ich den ersten Ratschlag befolgt und die Systemwiederherstellung abgeschalten.
Bei den infizierten Datein handelt es sich um
C:\WINDOWS\system32\9846545561.CPX und
C:\WINDOWS\system32\984654~2.CPX und
C:\WINDOWS\SYSTEM32\11.CPX
Ich poste auch gleich mal die HJT-Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:04, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Raptor-Gaming\RGM2\Panel.exe
C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\abc\Desktop\Anderes\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe
O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/25b64428e572e36cdc05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128376338343
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218480120
O17 - HKLM\System\CCS\Services\Tcpip\..\{E54899DC-7123-4417-B36A-033079C78E45}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 8237 bytes
soll ich hier bereits irgendwelche dateien löschen!? oder soll ich wie in dem anderen beitrag diese 8 punkte durchackern und dann alles posten?
danke im voraus für eure hilfe
Flou

Silent sharK 25.11.2008 14:18
Hi,

arbeite bitte folgende zwei Punkte durch:

1.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

2.)
SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
    http://img.bleepingcomputer.com/swr-...ix-install.jpg
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Flou 25.11.2008 15:46
so hab jetz mal beide punkte ausgeführt
combo fix log:
Code:
ComboFix 08-11-24.03 - Florian 2008-11-25 14:48:06.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.189 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Florian\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Mozilla Firefox\plugins\npclntax.dll
c:\windows\smdat32m.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\NCTAudioFile2.dll
c:\windows\system32\NCTAudioPlayer2.dll
c:\windows\system32\NCTAudioRecord2.dll
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((  Dateien erstellt von 2008-10-25 bis 2008-11-25  ))))))))))))))))))))))))))))))
.

2008-11-25 14:31 . 2008-11-25 14:31        <DIR>        d--------        c:\programme\CCleaner
2008-11-25 01:10 . 2008-11-25 01:10        <DIR>        d--------        c:\programme\MSXML 6.0
2008-11-25 01:05 . 2008-11-25 01:05        <DIR>        d--------        c:\programme\MSXML 4.0
2008-11-24 22:48 . 2008-11-24 22:48        <DIR>        d--------        c:\dokumente und einstellungen\Florian\Anwendungsdaten\Sony
2008-11-24 22:48 . 2008-11-24 22:48        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony
2008-11-24 19:16 . 2008-11-24 20:02        <DIR>        d--------        c:\windows\system32\CatRoot_bak
2008-11-24 19:08 . 2008-06-14 18:57        273,024        ---------        c:\windows\system32\dllcache\bthport.sys
2008-11-24 19:07 . 2008-08-28 11:04        333,056        ---------        c:\windows\system32\dllcache\srv.sys
2008-11-24 19:07 . 2008-08-14 10:51        138,368        ---------        c:\windows\system32\dllcache\afd.sys
2008-11-24 19:05 . 2008-08-14 14:42        2,182,656        ---------        c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-24 19:05 . 2008-08-14 14:42        2,138,624        ---------        c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-24 19:05 . 2008-08-14 14:42        2,060,032        ---------        c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-24 19:05 . 2008-08-14 14:42        2,018,304        ---------        c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-24 19:05 . 2008-09-15 16:37        1,846,144        ---------        c:\windows\system32\dllcache\win32k.sys
2008-11-24 19:03 . 2008-10-24 12:10        453,632        ---------        c:\windows\system32\dllcache\mrxsmb.sys
2008-11-24 19:02 . 2008-04-11 19:50        683,520        ---------        c:\windows\system32\dllcache\inetcomm.dll
2008-11-24 19:02 . 2008-05-01 15:30        331,776        ---------        c:\windows\system32\dllcache\msadce.dll
2008-11-24 19:01 . 2008-10-15 17:57        332,800        ---------        c:\windows\system32\dllcache\netapi32.dll
2008-11-24 18:53 . 2008-10-16 14:08        31,768        --a------        c:\windows\system32\wucltui.dll.mui
2008-11-24 18:53 . 2008-10-16 14:08        27,672        --a------        c:\windows\system32\wuaucpl.cpl.mui
2008-11-24 18:53 . 2008-10-16 14:08        27,672        --a------        c:\windows\system32\wuapi.dll.mui
2008-11-24 18:53 . 2008-10-16 14:07        18,968        --a------        c:\windows\system32\wuaueng.dll.mui
2008-11-24 17:33 . 2008-11-24 17:33        <DIR>        d--------        c:\programme\Sony
2008-11-24 17:31 . 2006-10-04 15:06        1,197,294        ---------        c:\windows\system32\dllcache\sysmain.sdb
2008-11-24 17:31 . 2006-10-04 15:06        764,868        ---------        c:\windows\system32\dllcache\apph_sp.sdb
2008-11-24 17:31 . 2006-10-04 15:06        217,118        ---------        c:\windows\system32\dllcache\apphelp.sdb
2008-11-24 17:29 . 2008-11-24 22:46        <DIR>        d--------        c:\windows\system32\drivers\UMDF
2008-11-24 17:18 . 2008-11-24 17:18        <DIR>        d--------        c:\programme\Avanquest update
2008-11-24 17:18 . 2008-11-24 17:18        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-11-24 17:16 . 2008-11-24 17:33        <DIR>        d--------        c:\programme\Sony Ericsson
2008-11-24 17:16 . 2008-11-24 17:16        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-11-18 22:25 . 2004-08-08 19:22        <DIR>        d--hs----        C:\FOUND.000
2008-11-17 19:55 . 2008-11-17 20:10        <DIR>        d--------        c:\programme\mp3DirectCut
2008-10-31 23:46 . 2008-11-25 14:52        88,566        --a------        c:\windows\system32\nvapps.xml
2008-10-31 23:45 . 2006-10-22 15:06        208,896        --a------        c:\windows\system32\NVUNINST.EXE
2008-10-31 23:45 . 2006-10-22 12:22        208,896        --a------        c:\windows\system32\nvudisp.exe
2008-10-31 23:45 . 2006-10-22 12:22        17,056        --a------        c:\windows\system32\nvdisp.nvu
2008-10-31 23:44 . 2008-10-31 23:44        <DIR>        d--------        C:\NVIDIA
2008-10-31 23:34 . 2006-10-22 12:22        4,527,488        --a------        c:\windows\system32\nv4_disp.dll
2008-10-31 23:34 . 2006-10-22 12:22        4,527,488        --a------        c:\windows\system32\dllcache\nv4_disp.dll
2008-10-31 23:34 . 2006-10-22 12:22        3,994,624        --a------        c:\windows\system32\drivers\nv4_mini.sys
2008-10-31 23:34 . 2006-10-22 12:22        3,994,624        --a------        c:\windows\system32\dllcache\nv4_mini.sys
2008-10-31 23:32 . 2008-10-31 23:33        <DIR>        d--------        c:\programme\Driver Cleaner Pro
2008-10-29 17:10 . 2008-10-29 17:23        <DIR>        d--------        c:\dokumente und einstellungen\Florian\Anwendungsdaten\concept design
2008-10-29 17:10 . 2006-05-21 16:15        966,144        --a------        c:\windows\system32\NCTAudioInformation2.dll
2008-10-29 17:10 . 2006-05-21 16:15        634,880        --a------        c:\windows\system32\NCTAudioEditor2.dll
2008-10-29 17:10 . 2006-05-21 16:15        522,752        --a------        c:\windows\system32\NCTAudioTransform2.dll
2008-10-29 17:10 . 2006-05-21 16:15        237,568        --a------        c:\windows\system32\lame_enc.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 13:36        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-25 12:30        ---------        d-----w        c:\programme\Spybot - Search & Destroy
2008-11-24 21:21        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-24 16:18        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-11-24 16:14        ---------        d-----w        c:\programme\Gemeinsame Dateien\Teleca Shared
2008-11-12 19:46        ---------        d-----w        c:\programme\TuneUp Utilities 2004
2008-10-24 11:10        453,632        ----a-w        c:\windows\system32\drivers\mrxsmb.sys
2008-10-18 12:53        ---------        d-----w        c:\dokumente und einstellungen\Florian\Anwendungsdaten\ppstream
2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 13:08        34,328        ----a-w        c:\windows\system32\wups.dll
2008-10-16 13:08        34,328        ----a-w        c:\windows\system32\dllcache\wups.dll
2008-09-30 15:43        1,286,152        ----a-w        c:\windows\system32\msxml4.dll
2008-09-27 15:28        ---------        d-----w        c:\programme\ICQ6
2008-09-15 15:37        1,846,144        ----a-w        c:\windows\system32\win32k.sys
2008-09-04 16:43        1,106,944        ----a-w        c:\windows\system32\msxml3.dll
2008-09-04 16:43        1,106,944        ----a-w        c:\windows\system32\dllcache\msxml3.dll
2008-08-29 19:06        1,350,664        ----a-w        c:\windows\system32\msxml6.dll
2007-04-02 14:25        47,439        ----a-w        c:\programme\ScummVMmonkey2.s00
2007-04-02 13:41        46,202        ----a-w        c:\programme\ScummVMmonkey2.c99
2007-04-02 13:03        48,643        ----a-w        c:\programme\ScummVMmonkey2.s01
2003-12-18 21:48        21,696        ----a-w        c:\dokumente und einstellungen\Florian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-06-18 16:58        2,254,336        ----a-w        c:\programme\Compuserve.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"Raptor-Gaming M2"="c:\programme\Raptor-Gaming\RGM2\Panel.exe" [2005-04-28 249856]
"SHARKOON STATION"="c:\programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe" [2004-11-11 327680]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-15 57344]
"NVCLOCK"="nvclock.dll" [2002-08-29 c:\windows\system32\nvclock.dll]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCommonGroups"= 0 (0x0)
"NoSimpleStartMenu"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"wave1"= 9846545561.CPX
"vidc.ffds"= ffdshow.ax

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Florian^Startmenü^Programme^Autostart^Xfire.lnk]
path=c:\dokumente und einstellungen\Florian\Startmenü\Programme\Autostart\Xfire.lnk
backup=c:\windows\pss\Xfire.lnkStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"42988:TCP"= 42988:TCP:emule1
"42998:UDP"= 42998:UDP:emule2

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-03-05 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-03-05 45376]
R1 SSHDRV76;SSHDRV76;\??\c:\windows\System32\drivers\SSHDRV76.sys [2004-08-15 53760]
R2 accvssvc;AccSys WLAN Control Service;c:\programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-12-29 126976]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [2004-09-12 61280]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\DRIVERS\AVMCOWAN.sys [2003-11-19 53120]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2003-12-28 37568]
R3 fxusbase;FRITZ!X USB;c:\windows\system32\DRIVERS\fxusbase.sys [2003-11-19 547840]
R3 GMFilter Filter;GMFilter Filter;c:\windows\system32\Drivers\GMFilter.sys [2005-06-13 25088]
R3 UALFDrv2;UALFDrv2;c:\windows\system32\DRIVERS\UALFDrv2.sys [2006-12-23 46280]
R3 VGAUTI;VGAUTI;\??\c:\windows\system32\DRIVERS\VGAUTI.sys [2003-12-29 37880]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys []
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS [2006-08-09 316928]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys []
S4 cdawdm;CDAWDM;c:\windows\system32\DRIVERS\CDAWDM.sys []
S4 hpt3xx;hpt3xx; []
.
Inhalt des "geplante Tasks" Ordners

2008-10-24 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-11-09 20:16]

2008-07-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file)
WebBrowser-{DFE7C168-8999-4E9C-801D-3C95724E2663} - (no file)
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\default.iha\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.gmx.de
FF -: plugin - c:\progra~1\MOZILL~1\plugins\np32dsw.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npclntax.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npnul32.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\NPOFFICE.DLL
FF -: plugin - c:\progra~1\MOZILL~1\plugins\nppdf32.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin2.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin3.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin4.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin5.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin6.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin7.dll
FF -: plugin - c:\progra~1\MOZILL~1\plugins\npqtplugin8.dll
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPJPI142.dll
FF -: plugin - c:\programme\Java\j2re1.4.2\bin\NPOJI610.dll
FF -: plugin - c:\programme\QuickTime\Plugins\npqtplugin8.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 14:53:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\9846545561.CPX 115200 bytes executable
c:\windows\system32\98465455621.cpx 352 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\ahead\InCD\InCDsrv.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\MsPMSPSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 14:57:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-25 13:57:35

Vor Suchlauf: 43 Verzeichnis(se), 34.706.333.696 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noguiboot  /NoExecute=OptIn

246        --- E O F ---        2008-11-25 00:13:01
dann die sdfix report datei:
Code:
SDFix: Version 1.240
Run by Florian on 25.11.2008 at 15:26

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\TFTP3360 - Deleted
C:\WINDOWS\system32\hook.dll - Deleted





Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 15:34:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:61993404
"s2"=dword:56032263
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7b,53,a9,b5,ce,64,d5,0b,65,81,3c,81,17,44,54,b9,35,92,d1,46,c9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7b,53,a9,b5,ce,64,d5,0b,65,81,3c,81,17,44,54,b9,35,92,d1,46,c9,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000141

scanning hidden files ...

C:\WINDOWS\system32\9846545561.CPX 115200 bytes executable
C:\WINDOWS\system32\98465455621.cpx 352 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"="C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 22 Oct 2008      949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008    1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Tue 16 Sep 2008    1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008      962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"
Mon 24 Nov 2008            0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Flou 25.11.2008 15:47
und zu guter letzt die neue HJT logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:59, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Raptor-Gaming\RGM2\Panel.exe
C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Dokumente und Einstellungen\abc\Desktop\Anderes\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe
O4 - HKLM\..\Run: [SHARKOON STATION] C:\Programme\SHARKOON Technologies GmbH\SHARKOON STATION\Majestic.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128376338343
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218480120
O17 - HKLM\System\CCS\Services\Tcpip\..\{E54899DC-7123-4417-B36A-033079C78E45}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 7611 bytes
die fehlermeldungen kommen jedoch immernoch, sowohl beim neustart von windows sowie beim starten von mozilla!!

Silent sharK 25.11.2008 16:07
Ich weiß, dass die Fehlermeldungen noch kommen.

Zu den Logs:

Zitat:
C:\WINDOWS\system32\9846545561.CPX 115200 bytes executable
C:\WINDOWS\system32\98465455621.cpx 352 bytes
Der mehr oder weniger schöne Silentbanker.
Dessen Registryeintrag:
Zitat:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"wave1"= 9846545561.CPX
"vidc.ffds"= ffdshow.ax
===========
Ich würde dir raten, das System zu plätten und eine Neuinstallation des OS durchzuführen.
Warum das ganze, kannst du in meiner Sig nachlesen, zum Thema Silentbanker.
Zudem noch:
  • Passwörter und Zugangsdaten von einem sauberen System aus ändern
  • Wenn Onlinebanking betrieben wurde, Konto auf ungewöhnliche Transfervorgänge überprüfen
  • Evtl. TAN-Liste sperren lassen

Wie kam es zur Infektion?
Emailanhang geöffnet?
Datei heruntergeladen und ausgeführt?

Flou 25.11.2008 16:43
dacht ich mir fast schon...
aber wird wohl das beste sein... lauf ich gefahr, das neu aufgesetzte system zu infizieren, wenn ich die musik und bilder rüberzieh oder sollt des kein problem sein!?!
danke auf jeden fall für die hilfe

Silent sharK 25.11.2008 16:45
Zitat:
lauf ich gefahr, das neu aufgesetzte system zu infizieren, wenn ich die musik und bilder rüberzieh oder sollt des kein problem sein!?!
Sollte eigentlich kein Problem sein.
Wenn du aber kein Risiko eingehen willst, kann ich dir eine Anleitung für linuxbasierende Datensicherung geben.

Flou 25.11.2008 16:48
ja wenns nich allzu kompliziert wird und ma des auch als laie versteht, sehr gerne

Silent sharK 25.11.2008 16:49
Denke schon,

hier bitte :)

Knoppix Live-CD - Erstellen und Handhabung

Live CD erstellen/brennen:
  • Lade Dir als allererstes Knoppix als .iso-Datei herunter => Klick
  • Nun brennst Du diese Datei auf eine leere CD-R (Wichtig: Die Datei muss als Image gebrannt werden => Imagebrennfunktion nutzen!).

Von der Live CD aus booten:
  • Lege die CD in dein Laufwerk ein und starte den Rechner neu (vergesse nicht, davor deine externe Datenträger anzuschließen um deine Daten dann später zu sichern!)
  • Wenn Dein Rechner neubootet, startet Knoppix normalerweise von alleine. Wenn dies nicht der Fall ist, ändere die Bootreihenfolge im BIOS (Wie mache ich das?)
  • Du wirst von Knoppix aufgefordert, Enter zu drücken. Tue dies, um es zu starten.

Bedienung:

Nun siehst Du den Knoppix Desktop.
Deine Festplatten und zuvor angeschlossene Datenträger werden dort übrigens auch angezeigt.
Dies sieht folgendermaßen aus:
http://s2.imgimg.de/uploads/HDD12d3a0773JPG.jpghttp://s2.imgimg.de/uploads/HDD2f34b3932JPG.jpghttp://s2.imgimg.de/uploads/USB40247e04JPG.jpg

Dateien sichern:

Durch einen Doppelklick auf die Icons kannst Du auf das entsprechende Medium zugreifen und deren beinhaltende Dateien verwalten.
Per Drag&Drop verschiebst Du nun einfach die gewünschten Dateien von der Festplatte auf den gewünschten Datenträger:
http://www.bilder-verkleinern.de/upl...JPG?1227561690

(Durch die Methode kannst du auch Mails, Firefoxeinstellungen, Addressbücher, Backups, etc. sichern.)

Nach dem Sichern:

Wenn Du deine Sicherung beendet hast, kannst du Knoppix verlassen, indem du auf das Knoppix-Symbol (Links in der Startleiste) gehst und auf "Abmelden" klickst.

Hinweis:
Sichere Dir alle persönlich wichtigen Daten! Nicht gesicherte Daten gehen beim Formatieren der Festplatten verloren. Daten können nicht auf der CD gesichert werden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131