clbcat.dll und andere Trojaner-System noch zu retten?
 

Hallo zusammen!

Zuerst möchte ich gerne mal klarstellen, dass ich in Sachen Computer ein Anfänger bin. (Nur so als Vorwarnug falls ich ein bisschen schwer von Verstand sein sollte.) Ich habe seit Kurzem ein bzw. mehrere Probleme. Einerseits kann ich mein Laufwerk C nicht mehr öffnen. Es kommt eine Meldung C:\resycled\boot.com ist keine zulässige WIN-32 Anwendung.

Andererseits habe ich mehrere Trojaner auf dem Computer, welche, so dünkt es mich, das System extrem beeinflussen (langsamer, Internetseiten können nicht mehr geöffnet werden, Mehrmaliges klicken auf einen Link nötig ehe der Link geöffnet wird etc.) Ich poste hier mal einen Auszug aus HijackThis. Ich hoffe mir kann jemand helfen.

Ansonsten gibts wohl nichts anderes als eine Neuaufsetzung des Systems, oder was meint Ihr? Danke für eure HIlfe

mfg Nico

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:46, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: (no name) - {8E91869E-EBDC-4658-A6C6-DF266E84FB5A} - C:\WINDOWS\system32\clbcat.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{33DA2707-41B5-4267-81E8-EFD29A790884}: NameServer = 85.255.116.52;85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A772E86-378A-4FD4-8C40-A118E1EC29B1}: NameServer = 85.255.116.52;85.255.112.106
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.52;85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.52;85.255.112.106
O20 - AppInit_DLLs: C:\WINDOWS\System32\iertutil32.dll,C:\WINDOWS\System32\deskperf32.dll
O20 - Winlogon Notify: 940c7733502 - C:\WINDOWS\System32\iertutil32.dll (file missing)
O20 - Winlogon Notify: 940c7733509 - C:\WINDOWS\System32\deskperf32.dll (file missing)
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 7123 bytes

Als allererstes solltest du solange die Malware auf deinem Rechner ist, nicht mehr ins Internet gehen. Befolge aber erstmal diese Anleitung.
Am besten genau befolgen.

http://extreme.pcgameshardware.de/windows-xp-vista-seven-windows-allgemein/24344-beseitigungs-tutorial-fuer-resycled-boot-com-im-arbeitsplatz.html

Wenn alles entfernt ist und wieder normal läuft, ändere alle Online Passwörter die du seit der Infektion benutzt hast oder auf deinem PC gespeichert hast. Vorallem wenn du Onlinebanking betreibst.

vielen dank für den tipp!
es hat geklappt
hier mal der auszug aus malwarebytes:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

02.02.2009 23:23:54
mbam-log-2009-02-02 (23-23-54).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56666
Laufzeit: 6 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{33da2707-41b5-4267-81e8-efd29a790884}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{33da2707-41b5-4267-81e8-efd29a790884}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4a772e86-378a-4fd4-8c40-a118e1ec29b1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{33da2707-41b5-4267-81e8-efd29a790884}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{33da2707-41b5-4267-81e8-efd29a790884}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4a772e86-378a-4fd4-8c40-a118e1ec29b1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{33da2707-41b5-4267-81e8-efd29a790884}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{33da2707-41b5-4267-81e8-efd29a790884}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4a772e86-378a-4fd4-8c40-a118e1ec29b1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.52;85.255.112.106 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\PCPrivacyCleaner (Rogue.PCPrivacyCleaner) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\clbcat.dll (Trojan.BHO.H) -> Delete on reboot.
C:\WINDOWS\system32\msqpdxweaturxb.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\msqpdxlmjfocum.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\msqpdxpcuuktkl.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.


sieht nicht gut aus oder?

Nachdem alles soweit gesäubert ist nochmals den Scan mit Malwarebytes ausführen und anschliessend mit Hijack This scannen.

Den Hijacklog posten und wenn Malwarebytes noch etwas findet ebenfalls den Log posten.

also malwarebytes hat das gefunden:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1717
Windows 5.1.2600 Service Pack 3

03.02.2009 07:10:38
mbam-log-2009-02-03 (07-10-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 175301
Laufzeit: 53 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\clbcat.dll (Trojan.BHO.H) -> Delete on reboot.






und hijackthis das:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:23, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Autorun Eater\billy.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: (no name) - {8E91869E-EBDC-4658-A6C6-DF266E84FB5A} - C:\WINDOWS\system32\clbcat.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\iertutil32.dll,C:\WINDOWS\System32\deskperf32.dll
O20 - Winlogon Notify: 940c7733502 - C:\WINDOWS\System32\iertutil32.dll (file missing)
O20 - Winlogon Notify: 940c7733509 - C:\WINDOWS\System32\deskperf32.dll (file missing)
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 7127 bytes

und hier noch quickscan von malwarebytes:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1718
Windows 5.1.2600 Service Pack 3

03.02.2009 13:19:22
mbam-log-2009-02-03 (13-19-17).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 57841
Laufzeit: 7 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\clbcat.dll (Trojan.BHO.H) -> No action taken.

Okay dann

1. Schliesse alle geöffneten Programme. Lösche alle QuarantäneInhalte deiner Spyware/Virenscanner.

2. C:\WINDOWS\Temp
C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temporary Internet Files
C:\Windows\Prefetch

jeweils die Inhalte löschen (nicht die Ordner selbst)

3. SUPERAntiSpyware Free Edition downloaden und aktualisieren, dann ausführen.

4. F-Secure Blacklight laden und scannen F-Secure Blacklight

5. Mit CCleaner das System bereinigen.

Am besten machst du das im Abgesicherten Modus, nachdem du alles geladen und aktualisiert hast. Auch Malwarebytes aktualisieren.

Anschliessend ein Hijackscan machen und posten.

Falls danach immernoch vorhanden, könntest du mal folgene Dateien bei Virus total hochladen.

C:\Programme\KGB\Mpk.exe
C:\WINDOWS\system32\clbcat.dll

hier hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:00, on 04.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Autorun Eater\billy.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {8E91869E-EBDC-4658-A6C6-DF266E84FB5A} - C:\WINDOWS\system32\clbcat.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\iertutil32.dll,C:\WINDOWS\System32\deskperf32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: 940c7733502 - C:\WINDOWS\System32\iertutil32.dll (file missing)
O20 - Winlogon Notify: 940c7733509 - C:\WINDOWS\System32\deskperf32.dll (file missing)
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 7209 bytes

was soll ich eigentlich tun, wenn ich diese trojaner raufgeladen habe bei virustotal?

Das Ergebnis kopieren und posten, hab ich vergessen zu erwähnen.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.04 -
AhnLab-V3 5.0.0.2 2009.02.04 -
AntiVir 7.9.0.71 2009.02.04 TR/Trash.Gen
Authentium 5.1.0.4 2009.02.04 -
Avast 4.8.1281.0 2009.02.03 -
AVG 8.0.0.229 2009.02.04 -
BitDefender 7.2 2009.02.04 -
CAT-QuickHeal 10.00 2009.02.04 -
ClamAV 0.94.1 2009.02.04 -
Comodo 964 2009.02.04 -
DrWeb 4.44.0.09170 2009.02.04 -
eSafe 7.0.17.0 2009.02.01 -
eTrust-Vet 31.6.6341 2009.02.04 -
F-Prot 4.4.4.56 2009.02.04 -
F-Secure 8.0.14470.0 2009.02.04 -
Fortinet 3.117.0.0 2009.02.04 -
GData 19 2009.02.04 -
Ikarus T3.1.1.45.0 2009.02.04 -
K7AntiVirus 7.10.618 2009.02.04 -
Kaspersky 7.0.0.125 2009.02.04 -
McAfee 5515 2009.02.03 -
McAfee+Artemis 5515 2009.02.03 -
Microsoft 1.4306 2009.02.04 -
NOD32 3826 2009.02.04 -
Norman 6.00.02 2009.02.04 -
nProtect 2009.1.8.0 2009.02.04 -
Panda 9.5.1.2 2009.02.03 -
PCTools 4.4.2.0 2009.02.03 -
Prevx1 V2 2009.02.04 -
Rising 21.15.20.00 2009.02.04 -
SecureWeb-Gateway 6.7.6 2009.02.04 Trojan.Trash.Gen
Sophos 4.38.0 2009.02.04 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.04 -
TheHacker 6.3.1.5.246 2009.02.04 -
TrendMicro 8.700.0.1004 2009.02.04 -
VBA32 3.12.8.12 2009.02.04 -
ViRobot 2009.2.4.1589 2009.02.04 -
VirusBuster 4.5.11.0 2009.02.04 -
weitere Informationen
File size: 94720 bytes
MD5...: d18180620112555bb20df13a5b58fc77
SHA1..: fdab3620d73543139dcd1a9644e24b40bfc09172
SHA256: a2bad64b38091db956afb39e8d91612e6cd69e5e95621cad87a041f0f34f9284
SHA512: 3d6e97b2deaf8f9e05483011cec3a886244ebeedfb2173277781e1665634571f
1dff88579eab129fe2c92b7b6d6a5a3d9bcbf2d4ed825084ac040e72e47bc470

ssdeep: 6:ivmtOq2Vg3F+X32xlt4t2o0vggosy4uM7sTyWTb/uTi7WpLW//+/aubMaLL:3O
9GSGB4T0zyVMGfYLWuSyMaLL

PEiD..: -
TrID..: File type identification
Autodesk FLIC Image File (extensions: flc, fli, cel) (100.0%)
PEInfo: -

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Potentially harmful program Logger.DOO
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - not-a-virus:Monitor.Win32.KGBSpy.453
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Spyware.KGBSpy
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Riskware.KGBSpy.453
weitere Informationen
MD5: a221b525812cd289917089a01cb4a7e2
SHA1: 802ab145b24a0f251a52656a4e5ef40956328e1b
SHA256: 278a0dbf526a7e76e531cb704c089a5993122458355e326792e6c36c98a291c1
SHA512: b8ecba401f4dc4b2f6ff42f9287566d6b32495e3841ec9d4cd3b153a6ea63a20b976a15eb2b0779179329451090fdd639f99fd9cde57dd244821a1a6938e9b2b

Öffne HijackThis dann "Do a system scan only" anschliessend folgende Einträge anwählen:

O2 - BHO: (no name) - {8E91869E-EBDC-4658-A6C6-DF266E84FB5A} - C:\WINDOWS\system32\clbcat.dll

O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe

O20 - Winlogon Notify: 940c7733502 - C:\WINDOWS\System32\iertutil32.dll (file missing)

O20 - Winlogon Notify: 940c7733509 - C:\WINDOWS\System32\deskperf32.dll (file missing)

O20 - AppInit_DLLs: C:\WINDOWS\System32\iertutil32.dll,C:\WINDOWS\Syst em32\deskperf32.dll

Dann noch auf "Fix checked"

Danach ein Malwarebytes Quickscan und HijackThis scan posten.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:24, on 05.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Autorun Eater\billy.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {8E91869E-EBDC-4658-A6C6-DF266E84FB5A} - C:\WINDOWS\system32\clbcat.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 6993 bytes

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1731
Windows 5.1.2600 Service Pack 3

05.02.2009 18:36:10
mbam-log-2009-02-05 (18-36-05).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 57652
Laufzeit: 5 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\clbcat.dll (Trojan.BHO.H) -> No action taken.

Hallo,

Klicke mir. ;)

ciao, andreas

danke für deine hilfe andreas
hier der log:
ComboFix 09-02-04.04 - Nico 2009-02-05 18:48:32.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.446.174 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Nico\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)
AV: BitDefender Antivirus *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509C.manifest
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509O.manifest
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509P.manifest
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509S.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502C.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502O.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502P.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502S.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509C.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509O.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509P.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509S.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\EurekaLog
c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\ukasayw.dat
c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\ukasayw_nav.dat
c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\ukasayw_navps.dat
c:\programme\Mozilla Firefox\components\nsadzgalore.dll
c:\windows\GnuHashes.ini
c:\windows\regedit.com
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\GroupPolicyManifest
c:\windows\system32\GroupPolicyManifest\1.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest\2.crack.zip
c:\windows\system32\GroupPolicyManifest\2.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest\3.video.zip
c:\windows\system32\GroupPolicyManifest\3.video.zip.kwd
c:\windows\system32\GroupPolicyManifest\4.setup.zip
c:\windows\system32\GroupPolicyManifest\4.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest\5.unpack.zip
c:\windows\system32\GroupPolicyManifest\5.unpack.zip.kwd
c:\windows\system32\taskmgr.com
c:\windows\system32\clbcat.dll . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.

2009-02-04 15:44 . 2009-02-04 15:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 14:56 . 2009-02-04 14:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-03 22:28 . 2009-02-03 22:27 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-03 22:28 . 2009-02-03 22:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-02 23:35 . 2009-02-02 23:35 250 --a------ c:\windows\gmer.ini
2009-02-02 23:14 . 2009-02-02 23:14 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-02 23:13 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-02 23:08 . 2009-02-05 18:57 <DIR> d-------- c:\programme\Autorun Eater
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:04 . 2009-02-03 13:25 <DIR> d-------- c:\programme\NCH Swift Sound
2009-02-02 23:04 . 2009-02-02 23:04 <DIR> d-------- c:\programme\NCH Software
2009-02-02 21:13 . 2009-02-03 13:26 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Bitdefender
2009-02-02 18:15 . 2009-02-02 21:04 81,984 --a------ c:\windows\system32\bdod.bin
2009-02-02 17:41 . 2009-02-02 17:41 850 --a------ c:\windows\system32\ProductTweaks.xml
2009-02-02 17:41 . 2009-02-02 17:41 385 --a------ c:\windows\system32\user_gensett.xml
2009-02-01 21:35 . 2009-02-01 21:35 <DIR> d-------- c:\programme\BitDefender
2009-02-01 21:35 . 2009-02-02 17:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
2009-02-01 21:34 . 2009-02-03 13:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\BitDefender
2009-02-01 17:32 . 2009-02-01 17:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-01 16:45 . 2009-02-01 16:45 <DIR> d-------- c:\programme\Avira
2009-02-01 16:45 . 2009-02-01 16:45 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-28 18:36 . 2009-01-28 18:36 <DIR> d-------- c:\programme\IrfanView
2009-01-28 18:07 . 2009-01-28 18:34 <DIR> d-------- c:\programme\PhotoFiltre
2009-01-18 00:56 . 2009-01-18 00:56 11 -ra------ c:\windows\amunres.lsl
2009-01-15 22:34 . 2009-01-15 22:34 68,296 --a------ c:\windows\system32\drivers\GRD.sys
2009-01-15 21:43 . 2009-01-15 21:43 50,888 --a------ c:\windows\system32\drivers\MiniIcpt.sys
2009-01-15 21:41 . 2009-02-01 16:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-01-15 21:41 . 2009-01-15 21:41 50,888 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys
2009-01-09 00:16 . 2009-01-09 00:16 <DIR> d-------- c:\programme\Alwil Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-04 21:32 --------- d-----w c:\dokumente und einstellungen\Nico\Anwendungsdaten\LimeWire
2009-02-04 18:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-04 14:34 --------- d-----w c:\programme\CCleaner
2009-02-03 21:29 --------- d-----w c:\programme\LimeWire
2009-02-03 21:27 --------- d-----w c:\programme\Java
2009-02-02 20:17 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-01 15:20 --------- d-----w c:\programme\EA SPORTS
2009-01-15 20:02 --------- d-----w c:\programme\Trojan Remover
2009-01-08 22:52 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-05 17:47 --------- d-----w c:\programme\Full Tilt Poker
2008-12-29 00:02 --------- d-----w c:\programme\Tennis Elbow Manager
2008-12-28 22:00 --------- d-----w c:\programme\Fighters
2008-12-28 21:56 --------- d-----w c:\programme\Microsoft Games
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-07 13:12 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Simply Super Software
2008-12-06 19:02 255 ----a-w C:\autorun.inf.vir
2008-11-05 13:38 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2008-08-06 19:59 23,536 ----a-w c:\dokumente und einstellungen\Nico\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-31 17:12 22,328 ----a-w c:\dokumente und einstellungen\Nico\Anwendungsdaten\PnkBstrK.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E91869E-EBDC-4658-A6C6-DF266E84FB5A}]
2005-07-26 05:29 94720 --a------ c:\windows\system32\clbcat.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 774168]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"Autorun Eater"="c:\programme\Autorun Eater\oldmcdonald.exe" [2008-11-27 501768]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2005-05-13 11:01 118784 c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2005-04-12 10:05 65536 c:\programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Adobe\\Acrobat 4.0\\Reader\\AcroRd32.exe"=
"c:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\Photoshop Album Starter Edition.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Programme\\CCleaner\\ccleaner.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\unins000.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 ilcffezs;ilcffezs;c:\windows\system32\drivers\ilcffezs.sys [2005-12-05 23424]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [2007-04-11 100032]
R2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe -k netsvcs [2005-12-05 14336]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
S3 Devx;Devx;c:\windows\system32\drivers\Devx.sys [2007-10-09 4448]
S3 kteproc;kteproc;c:\windows\system32\kteproc.sys [2008-11-17 4608]
S3 VtPr;VtPr;c:\windows\system32\drivers\VtPr.sys [2007-10-09 3328]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c26-55a9-11dd-93cf-0011f5fd406a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:
\Shell\Open\command - f:\resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c27-55a9-11dd-93cf-0011f5fd406a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com g:
\Shell\Open\command - g:\resycled\boot.com g:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{953c09a0-9dee-11dd-93f3-0011f5fd406a}]
\Shell\AutoRun\command - F:\showpic.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffae8bdc-bf42-11db-92f2-00a0d1348b44}]
\Shell\AutoRun\command - F:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2006-06-18 c:\windows\Tasks\Registrierungserinnerung 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]

2006-06-18 c:\windows\Tasks\Registrierungserinnerung 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]

2006-06-18 c:\windows\Tasks\Registrierungserinnerung 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]

2009-02-05 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDetect.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-RunOnce-IETI - c:\programme\Skype\Phone\IEPlugin\unins000.exe
HKLM-Explorer_Run-Mpk.exe - c:\programme\KGB\Mpk.exe
MSConfigStartUp-BDAgent - c:\programme\BitDefender\BitDefender 2009\bdagent.exe
MSConfigStartUp-msnmsgr - c:\programme\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-ukasayw - c:\dokumente und einstellungen\nico\lokale einstellungen\anwendungsdaten\ukasayw.exe


.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.ch/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 18:58:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4129979931-2255093898-914873034-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:88,58,78,36,f3,b6,b5,08,9d,fb,9b,49,0e,1f,c8,77,97,fd,00,50,56,31,aa,
ed,74,71,99,e9,12,01,bc,26,5c,64,0e,e5,ce,bd,91,21,4f,dc,88,3c,a8,63,83,15,\
"??"=hex:83,60,5b,24,50,25,c9,e5,2f,65,b2,6b,11,9c,b6,ad

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_NDISPROT.SYS\0000\LogConf]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\acs.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\symwsc.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-05 19:01:48 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-05 18:01:44

Vor Suchlauf: 6'921'908'224 Bytes frei
Nach Suchlauf: 6,928,281,600 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

256 --- E O F --- 2009-02-04 06:03:20

Seit wann hast du Probleme?

ciao, andreas

p.s.:
1.) Deinstalliere (Start=>Systemsteuerung=>Programme):
LimeWire (die Ursache für deine Probleme)
Autorun Eater
Acrobat Reader (4.0? Damals gab es noch Mammuts auf der Erde.)
Trojan Remover (Rogueverdächtig)
Google Gelumpe (Datenkrake)
SuperAntiSpyware

2.) http://service1.symantec.com/support...50412095959924
http://www.bitdefender.de/KB333-de--...tallieren.html
http://www.avast.com/eng/avast-uninstall-utility.html

3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ich habe diesen clbcat trojaner vor 3 monaten oder so aufgefangen. das andere weiss ich nicht:) ich habe eben leider nie virenschutz oder so was ausgeführt... selber schuld:)

also ich mache das alles einmal dann liefere ich bericht:)

danke für die hilfe!!

wenn ich das symbol au combofix ziehe kommt "öffnen mit" oder abbrechen. muss ich auf "öffnen mit" drücken?

Benutzt du auch die rechte Maustaste?

ja! die rechte^^

Versuche es noch einmal. Wenn du die Maustaste loslässt, darfst du die Maus nicht bewegen.

jetzt geht es.
nur heisst es immer dass mein avira antivirus persionaledition aktiv ist, dabei ist er es gar nicht! und irgendwie finde ich den antivirus nicht in der software, wie kann ich den noch deinstallieren?

http://dlpro.antivir.com/down/windows/tool_de.exe

ciao, andreas

ComboFix 09-02-05.01 - Nico 2009-02-06 0:10:19.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.446.88 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Nico\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Nico\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\autorun.inf.vir
c:\dokumente und einstellungen\Nico\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\drivers\ilcffezs.sys
c:\windows\Tasks\Registrierungserinnerung 1.job
c:\windows\Tasks\Registrierungserinnerung 2.job
c:\windows\Tasks\Registrierungserinnerung 3.job
c:\windows\Tasks\Symantec NetDetect.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ILCFFEZS
-------\Legacy_NDISPROT.SYS


((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.

2009-02-05 21:53 . 2009-02-05 21:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-02-04 15:44 . 2009-02-04 15:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-04 14:57 . 2009-02-05 21:46 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-03 22:28 . 2009-02-03 22:27 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-03 22:28 . 2009-02-03 22:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-02 23:35 . 2009-02-02 23:35 250 --a------ c:\windows\gmer.ini
2009-02-02 23:14 . 2009-02-02 23:14 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-02 23:13 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-02 23:08 . 2009-02-05 21:44 <DIR> d-------- c:\programme\Autorun Eater
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:04 . 2009-02-03 13:25 <DIR> d-------- c:\programme\NCH Swift Sound
2009-02-02 23:04 . 2009-02-02 23:04 <DIR> d-------- c:\programme\NCH Software
2009-02-02 18:15 . 2009-02-02 21:04 81,984 --a------ c:\windows\system32\bdod.bin
2009-02-02 17:41 . 2009-02-02 17:41 850 --a------ c:\windows\system32\ProductTweaks.xml
2009-02-02 17:41 . 2009-02-02 17:41 385 --a------ c:\windows\system32\user_gensett.xml
2009-02-01 21:35 . 2009-02-05 21:52 <DIR> d-------- c:\programme\BitDefender
2009-02-01 17:32 . 2009-02-01 17:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-01 16:45 . 2009-02-01 16:45 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-28 18:36 . 2009-01-28 18:36 <DIR> d-------- c:\programme\IrfanView
2009-01-28 18:07 . 2009-01-28 18:34 <DIR> d-------- c:\programme\PhotoFiltre
2009-01-18 00:56 . 2009-01-18 00:56 11 -ra------ c:\windows\amunres.lsl
2009-01-15 22:34 . 2009-01-15 22:34 68,296 --a------ c:\windows\system32\drivers\GRD.sys
2009-01-15 21:43 . 2009-01-15 21:43 50,888 --a------ c:\windows\system32\drivers\MiniIcpt.sys
2009-01-15 21:41 . 2009-02-01 16:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-01-15 21:41 . 2009-01-15 21:41 50,888 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys
2009-01-09 00:16 . 2009-01-09 00:16 <DIR> d-------- c:\programme\Alwil Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 20:57 --------- d-----w c:\programme\Google
2009-02-05 20:56 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-02-05 20:45 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-02-04 14:34 --------- d-----w c:\programme\CCleaner
2009-02-03 21:27 --------- d-----w c:\programme\Java
2009-02-02 20:17 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-01 15:20 --------- d-----w c:\programme\EA SPORTS
2009-01-08 22:52 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-05 17:47 --------- d-----w c:\programme\Full Tilt Poker
2008-12-29 00:02 --------- d-----w c:\programme\Tennis Elbow Manager
2008-12-28 22:00 --------- d-----w c:\programme\Fighters
2008-12-28 21:56 --------- d-----w c:\programme\Microsoft Games
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-11-05 13:38 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2008-01-31 17:12 22,328 ----a-w c:\dokumente und einstellungen\Nico\Anwendungsdaten\PnkBstrK.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-02-05_19.00.56.54 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2009-02-05 23:15:43 16,384 ----atw c:\windows\temp\Perflib_Perfdata_1c8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 774168]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-11-05 67128]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2005-05-13 11:01 118784 c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2005-04-12 10:05 65536 c:\programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\Photoshop Album Starter Edition.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Programme\\CCleaner\\ccleaner.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\unins000.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe -k netsvcs [2005-12-05 14336]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 Devx;Devx;c:\windows\system32\drivers\Devx.sys [2007-10-09 4448]
S3 kteproc;kteproc;c:\windows\system32\kteproc.sys [2008-11-17 4608]
S3 VtPr;VtPr;c:\windows\system32\drivers\VtPr.sys [2007-10-09 3328]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{953c09a0-9dee-11dd-93f3-0011f5fd406a}]
\Shell\AutoRun\command - F:\showpic.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffae8bdc-bf42-11db-92f2-00a0d1348b44}]
\Shell\AutoRun\command - F:\setupSNK.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.ch/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 00:15:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4129979931-2255093898-914873034-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:88,58,78,36,f3,b6,b5,08,9d,fb,9b,49,0e,1f,c8,77,97,fd,00,50,56,31,aa,
ed,74,71,99,e9,12,01,bc,26,5c,64,0e,e5,ce,bd,91,21,4f,dc,88,3c,a8,63,83,15,\
"??"=hex:83,60,5b,24,50,25,c9,e5,2f,65,b2,6b,11,9c,b6,ad

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_NDISPROT.SYS\0000\LogConf]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(676)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\acs.exe
c:\windows\system32\ati2evxx.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
c:\programme\Windows Live\Messenger\usnsvc.exe
c:\programme\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-06 0:19:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-05 23:19:31
ComboFix2.txt 2009-02-05 22:13:40
ComboFix3.txt 2009-02-05 18:01:51

Vor Suchlauf: 8'148'099'072 Bytes frei
Nach Suchlauf: 8,185,430,016 Bytes frei

191 --- E O F --- 2009-02-04 06:03:20

clbcat.dll ist endlich draussen!!!!:)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:23:36, on 06.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 4654 bytes

Das sieht doch schon deutlich freundlicher aus.

1.) MalwareBytes nach Anleitung ausführen und Log posten.

2.) SuperAntiSpyware nach Anleitung ausführen und Log posten.

3.) GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Doppelklick auf gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

4.) Ein neues HJT-Log posten.

ciao, andreas

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1732
Windows 5.1.2600 Service Pack 3

06.02.2009 07:00:51
mbam-log-2009-02-06 (07-00-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 172618
Laufzeit: 48 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)