TR/Dldr.Swizzor.Gen - Wie entferne ich ihn und seine Begleiter?

#1 Hallo

ich habe seit kurzem den TR/Dldr.Swizzor.Gen Trojaner auf meinem Rechner, er wird ungefähr 10 mal pro Stunde gefunden. Habe sämtliche Registry-Zugriffe per SpyBot Search & Destroy gesperrt, verschiebe ihn jedes Mal in die Antivir Quarantäne, er erzeugt aber jedes Mal eine neue .exe-Datei in meinem Temp-Order. Nebenerscheinungen: TR/Obfuscated.BL und TR/Inject.AU.5
Habe folgenden HiJackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:55:46, on 26.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\miesi\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yah
oo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yah
oo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yah
oo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yah
oo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Automatische Auswertungen haben keine unsicheren Ergebnisse gezeigt und ich selbst konnte auch keinen nicht vertrauenswürdigen Eintrag entdecken.

Vielleicht sieht jemand von euch was!?

LG chrischa86

#2 Guten Tag,
da ich ihr anzeige wegen dem Trojaner gelesen habe wollte ich sie mal fragen ob sie ein programm besitzen, das "AVG" oder "Spybot" heißt???
wenn ja kann ich ihnen mit ihrem trojaner eventuell weiter helfen

#3 chrischa86

poste hier folgendes log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Ich hoffe, dass es jetzt nicht schon zu spät ist, jedenfalls hab ich hier jetzt den gewünschten Combofix Log

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\miesi\Desktop\ComboFix.exe
"miesi" - 2007-07-14 13:10:32 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-14 to 2007-07-14 )))))))))))))))))))))))))))))))


2007-07-01 17:14 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 18:43 <DIR> d-------- C:\oilimperium
2007-06-21 12:04 <DIR> d-------- C:\Programme\ICQLite


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-14 11:10:14 -------- d-----w C:\DOKUME~1\miesi\ANWEND~1\Skype
2007-07-14 10:57:22 -------- d-----w C:\Programme\Omerta Script
2007-07-13 21:59:00 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-07-05 20:50:42 -------- d-----w C:\Programme\ICQ6
2007-07-01 13:31:40 -------- d-----w C:\DOKUME~1\miesi\ANWEND~1\optioneachcast
2007-06-09 15:18:32 -------- d-----w C:\Programme\FLVPlayer
2007-06-09 08:19:07 -------- d-----w C:\Programme\Windows Live
2007-06-09 08:19:07 -------- d-----w C:\Programme\Messenger Plus! Live
2007-06-09 08:19:06 -------- d-----w C:\Programme\MSN Messenger
2007-06-02 19:57:16 -------- d-----w C:\Programme\Windows Journal Viewer
2007-06-01 12:58:25 -------- d-----w C:\Programme\On-line Help Console
2007-05-30 14:28:30 5,647 ----a-w C:\WINDOWS\mozver.dat
2007-05-30 14:28:26 -------- d-----w C:\DOKUME~1\miesi\ANWEND~1\Real
2007-05-30 14:25:58 -------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-05-30 14:25:52 -------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-05-29 15:18:30 -------- d-----w C:\Programme\KRBot Script v2.4


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{53707962-6F74-2D53-2644-206D7942484F}=C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 02:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 14:22]
{CD9B7762-DFBC-42B1-BB30-02A78287B456}=C:\Programme\TVgenial\Interfaces\IEButtonEbayInterface.dll [2007-03-20 19:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 06:41]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-04-10 08:01]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-30 16:25]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2006-11-30 22:49]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 02:04]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-04-25 12:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"VTTimer"=VTTimer.exe
"VTTrayp"=VTtrayp.exe
"RaidTool"=C:\Programme\VIA\RAID\raid_tool.exe
"SNPSTD2"=C:\WINDOWS\vsnpstd2.exe
"SoundMan"=SOUNDMAN.EXE
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe


Contents of the 'Scheduled Tasks' folder
2007-07-13 15:16:59 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-07-14 10:00:00 C:\WINDOWS\tasks\A7189BFA934313C6.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-14 13:12:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-14 13:13:17
C:\ComboFix2.txt ... 2007-01-28 21:14

--- E O F ---

#5 Ich habe das gleiche problem...
Sobald ich MSn live! plus runtergeladen habe (mit sponorensprogramm)

Schlägt mein Super dupes Antivirus programm alarm....

Das letzte mal war s genau der gleiche Virus......

was dann zu folgen hatte:
Windows Lädt nicht mehr hoch und musste neu installiert werden

Hoffe ich bekomme schnell Hilfe.....
Sonst habe ich ein defitges Problem:

Habe systemwiederherstelung deaktiviert

Msn plus deinstalliert

und....
(es Ist Immer Noch da)

#6 @juventiner
Erstellen eines Hijackthis-Logfiles

Download: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Deljob
Download Deljob.exe zum Desktop
Doppelklick: Deljob.exe
Ein logfile wird sich oeffnen (logit.txt)
Kopiere den Inhalt des Berichts “logit.txt ”in diesen Thread
__________
MfG Argus

#7 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:20, on 25.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\windows\system32\rlvknlg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\Thoosje Sidebar V2.0\Thoosje Sidebar .exe
C:\Programme\Windows Media Player\wmplayer.exe
E:\PhoneConnectorVMC.exe
E:\vmc.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\livecall.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Drilon\Desktop\HJT\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Sidebar .lnk = C:\Programme\Thoosje Sidebar V2.0\Thoosje Sidebar .exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8E9795C-26EF-44AA-AC54-D45C2CB8330B}: NameServer = 139.7.30.125 139.7.30.126
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 6244 bytes




---------
danke Für die hilfe

#8 Entferne als erstes New.net ueber Start -> Sytemsteuerung-> Software
Edit auch RelevantKnowledge entfernen

Deljob kommt noch,oder?

Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
Kopiere den Inhalt des Berichts C:/Combofix/combofix.txt in dein folgender Bericht
__________
MfG Argus

#9 deljob? was ist denn daS?

der virsu befindet sich In quarantäne.

New.net ist entfernt
(wow Ich wußte nicht einmaL das ich sowas überhaupt auf meinen Pc habe)


Wow ihr antwortet ziemlcih schnelll wie ein chat

#10 Schau mal nach ob RelevantKnowledge auch bei Software steht
Auch entfernen

Deljob ist ein tool um Lop infektionen zu entfernen
Anscheinend hast du kein Lop,CID infektion
__________
MfG Argus

#11 Poste mal das log von Combofix und ein neuer log von Hijack This
__________
MfG Argus

#12 Combofix :

"Drilon" - 2007-07-25 12:38:27 [GMT 2:00] - ComboFix 07-07-24 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\FunWebProducts
C:\Programme\FunWebProducts\Shared\00CFF8C8.dat
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\system32\rlls.dll
C:\WINDOWS\system32\rlvknlg.exe


((((((((((((((((((((((((( Files Created from 2007-06-25 to 2007-07-25 )))))))))))))))))))))))))))))))


2007-07-25 12:37 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-21 22:24 <DIR> d-------- C:\Programme\Creative Zone
2007-07-21 22:22 <DIR> d-------- C:\DOKUME~1\Drilon\WINDOWS
2007-07-21 18:36 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-07-21 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-07-21 14:20 <DIR> d-------- C:\DOKUME~1\AFRIMA~1\ANWEND~1\DivX
2007-07-21 14:15 <DIR> d-------- C:\DOKUME~1\AFRIMA~1\ANWEND~1\InterVideo
2007-07-20 19:11 159,744 --a------ C:\WINDOWS\system32\lfpng13n.dll
2007-07-18 22:33 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-07-18 22:33 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-07-18 22:32 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-07-18 22:32 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-07-18 22:32 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-07-18 22:32 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-07-18 22:32 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-07-18 22:32 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-07-18 22:32 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-07-18 22:32 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-07-18 22:32 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-07-18 22:32 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-07-18 22:32 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-07-18 22:32 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-07-18 22:28 <DIR> d-------- C:\Programme\Codemasters
2007-07-17 17:46 <DIR> d-------- C:\DOKUME~1\Drilon\ANWEND~1\TeamViewer
2007-07-17 15:45 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2007-07-17 15:45 <DIR> d-------- C:\Programme\ICQPlus
2007-07-17 01:01 <DIR> d-------- C:\DOKUME~1\AFRIMA~1\ANWEND~1\ICQ Toolbar
2007-07-16 21:44 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2007-07-16 21:44 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2007-07-16 21:44 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2007-07-16 21:38 <DIR> d-------- C:\Sierra
2007-07-16 21:14 <DIR> d-------- C:\Programme\DynGate
2007-07-16 21:13 <DIR> d-------- C:\DOKUME~1\Drilon\temp
2007-07-16 20:59 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-07-16 20:52 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-07-16 19:42 <DIR> d--h----- C:\WINDOWS\Icons
2007-07-16 19:14 <DIR> d-------- C:\DOKUME~1\Drilon\ANWEND~1\ICQ Toolbar
2007-07-16 19:11 <DIR> d-------- C:\Programme\ICQToolbar
2007-07-16 19:10 <DIR> d-------- C:\Programme\ICQ6
2007-07-16 19:10 <DIR> d-------- C:\DOKUME~1\Drilon\ANWEND~1\ICQ
2007-07-16 19:09 <DIR> d-------- C:\DOKUME~1\Drilon\ANWEND~1\InstallShield
2007-07-16 18:28 4,096 --a------ C:\WINDOWS\d3dx.dat
2007-07-16 18:27 <DIR> d-------- C:\Programme\OXXOGames
2007-07-16 18:25 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-07-09 18:12 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-07-09 18:12 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-07-09 18:12 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-07-09 18:12 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-07-09 18:12 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-07-09 18:12 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-07-04 15:43 <DIR> d-------- C:\DOKUME~1\AFRIMA~1\Contacts
2007-07-02 22:26 <DIR> d-------- C:\DOKUME~1\AFRIMA~1\ANWEND~1\MSNInstaller
2007-07-02 22:23 1,310,720 --ah----- C:\DOKUME~1\AFRIMA~1\NTUSER.DAT
2007-07-02 22:23 <DIR> dr-h----- C:\DOKUME~1\AFRIMA~1\Anwendungsdaten
2007-07-02 22:23 <DIR> dr------- C:\DOKUME~1\AFRIMA~1\Startmen�
2007-07-02 22:23 <DIR> dr------- C:\DOKUME~1\AFRIMA~1\Favoriten
2007-07-02 22:23 <DIR> dr------- C:\DOKUME~1\AFRIMA~1\Eigene Dateien
2007-07-02 22:23 <DIR> d--h----- C:\DOKUME~1\AFRIMA~1\Vorlagen
2007-07-02 22:23 <DIR> d--h----- C:\DOKUME~1\AFRIMA~1\Netzwerkumgebung
2007-07-02 22:23 <DIR> d--h----- C:\DOKUME~1\AFRIMA~1\Lokale Einstellungen
2007-07-02 22:23 <DIR> d--h----- C:\DOKUME~1\AFRIMA~1\Druckumgebung
2007-06-30 20:08 <DIR> d--hs---- C:\DOKUME~1\Drilon\UserData
2007-06-30 19:29 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-06-30 19:29 <DIR> d-------- C:\DOKUME~1\Drilon\ANWEND~1\Atari
2007-06-30 19:26 <DIR> d-------- C:\Programme\Photo Story 3 for Windows
2007-06-30 19:25 197,120 --a------ C:\WINDOWS\patchw32.dll
2007-06-30 19:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2007-06-30 19:19 <DIR> d-------- C:\Programme\Atari
2007-06-29 22:48 83,968 --a------ C:\WINDOWS\UnGins.exe
2007-06-29 22:47 473,600 --a------ C:\WINDOWS\system32\Harmony.dll
2007-06-29 22:47 237,568 --a------ C:\WINDOWS\system32\Unlha32.dll
2007-06-29 22:47 <DIR> d-------- C:\Programme\ASCII
2007-06-29 22:41 286,720 --a------ C:\WINDOWS\iun506.exe
2007-06-29 22:41 <DIR> d-------- C:\Programme\Enterbrain
2007-06-28 11:42 <DIR> d-------- C:\Programme\DJ Mix Pro
2007-06-26 16:16 <DIR> d-------- C:\DOKUME~1\Drilon\ANWEND~1\DivX
2007-06-26 15:33 36,624 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-06-26 15:33 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-06-26 15:33 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-06-26 15:33 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-06-26 15:33 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-06-26 15:33 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-06-26 15:32 <DIR> d-------- C:\Programme\DivX
2007-06-26 15:19 <DIR> d-------- C:\DOKUME~1\Drilon\ANWEND~1\InterVideo
2007-06-26 15:18 204,800 --a------ C:\WINDOWS\system32\IVIresizeW7.dll
2007-06-26 15:18 200,704 --a------ C:\WINDOWS\system32\IVIresizeA6.dll
2007-06-26 15:18 20,480 --a------ C:\WINDOWS\system32\IVIresize.dll
2007-06-26 15:18 192,512 --a------ C:\WINDOWS\system32\IVIresizeP6.dll
2007-06-26 15:18 192,512 --a------ C:\WINDOWS\system32\IVIresizeM6.dll
2007-06-26 15:18 188,416 --a------ C:\WINDOWS\system32\IVIresizePX.dll
2007-06-26 15:18 <DIR> d-------- C:\Programme\InterVideo
2007-06-25 20:21 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-25 09:55:22 -------- d-----w C:\Programme\KnuddelsTextPool
2007-07-22 21:54:45 -------- d-----w C:\DOKUME~1\Drilon\ANWEND~1\gtk-2.0
2007-07-21 16:28:49 -------- d-----w C:\Programme\MSN Messenger
2007-07-20 21:10:46 -------- d-----w C:\Programme\UltraStar
2007-07-18 20:28:18 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-17 12:04:16 -------- d-----w C:\Programme\GIMP-2.0
2007-07-16 16:44:22 75,392 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-16 16:44:22 416,044 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-16 16:31:13 -------- d-----w C:\Programme\Sony Ericsson
2007-06-23 21:47:45 -------- d-----w C:\DOKUME~1\Drilon\ANWEND~1\WinRAR
2007-06-23 20:17:04 -------- d-----w C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT
2007-06-23 20:17:00 -------- d-----w C:\Programme\DVDVIDEOSOFT
2007-06-23 13:06:07 -------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2007-06-22 21:19:23 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-06-22 21:19:12 -------- d-----w C:\DOKUME~1\Drilon\ANWEND~1\TuneUp Software
2007-06-22 21:18:36 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-22 20:53:11 8,464 ----a-w C:\WINDOWS\system32\sporder.dll
2007-06-22 20:15:13 -------- d-----w C:\Programme\Windows Media Connect 2
2007-06-22 19:06:25 -------- d-----w C:\Programme\Thoosje Sidebar V2.0
2007-06-21 14:57:10 -------- d-----w C:\Programme\Messenger
2007-06-21 14:56:58 -------- d-----w C:\Programme\Logitech
2007-06-21 14:56:27 -------- d-----w C:\Programme\Gemeinsame Dateien\Labtec
2007-06-21 14:54:08 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-06-21 14:43:41 -------- d-----w C:\Programme\Wireless LAN
2007-06-21 14:43:09 -------- d-----w C:\Programme\ENEKB
2007-06-21 14:41:40 -------- d-----w C:\Programme\Realtek Sound Manager
2007-06-21 14:41:40 -------- d-----w C:\Programme\AvRack
2007-06-21 14:41:34 -------- d-----w C:\Programme\Realtek AC97
2007-06-21 14:40:37 -------- d-----w C:\Programme\S3
2007-06-21 13:59:05 -------- d-----w C:\Programme\Vodafone
2007-06-21 13:47:33 -------- d-----w C:\Programme\microsoft frontpage
2007-06-21 13:42:20 0 --sha-r C:\MSDOS.SYS
2007-06-21 13:42:20 0 --sha-r C:\IO.SYS
2007-06-21 13:42:20 0 ----a-w C:\CONFIG.SYS
2007-06-21 13:42:20 0 ----a-w C:\AUTOEXEC.BAT
2007-06-21 13:40:52 -------- d--h--w C:\Programme\WindowsUpdate
2007-06-21 13:40:47 -------- d-----w C:\Programme\Online-Dienste
2007-06-21 13:39:54 -------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-06-21 13:39:49 -------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-06-21 13:39:39 -------- d-----w C:\Programme\Movie Maker
2007-06-21 13:39:05 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-06-21 13:38:08 -------- d-----w C:\Programme\Online Services
2007-06-21 13:37:57 -------- d-----w C:\Programme\MSN Gaming Zone
2007-06-21 13:37:47 -------- d-----w C:\Programme\Windows NT
2007-06-13 14:31:32 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2007-06-13 14:31:32 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2007-06-13 14:31:32 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2007-06-13 14:31:32 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2007-06-13 14:31:32 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2007-06-13 14:31:32 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2007-06-13 14:31:32 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2007-06-13 14:31:32 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2007-06-13 14:30:46 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-06-13 14:30:43 -------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-06-08 09:52:50 947,096 ----a-w C:\WINDOWS\system32\_ISource30.dll
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-11-01 04:15 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-20 14:42 C:\WINDOWS\soundman.exe]
"SMSERIAL"="sm56hlpr.exe" [2004-12-29 06:01 C:\WINDOWS\sm56hlpr.exe]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-02-12 16:57]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-02-12 16:59]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-06-24 18:55]

C:\Dokumente und Einstellungen\Drilon\Startmen�\Programme\Autostart\
Thoosje Sidebar .lnk - C:\Programme\Thoosje Sidebar V2.0\Thoosje Sidebar .exe [2007-06-19 15:24:52]

R0 uagp35;Microsoft AGPv3.5-Filter;C:\WINDOWS\system32\DRIVERS\uagp35.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys
R3 hwdatacard;Huawei DataCard USB Modem and USB Serial;C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys
R3 smserial;smserial;C:\WINDOWS\system32\DRIVERS\smserial.sys
R3 viagfx;viagfx;C:\WINDOWS\system32\DRIVERS\vtmini.sys
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber;C:\WINDOWS\system32\DRIVERS\fetnd5.sys
S3 pepifilter;Volume Adapter;C:\WINDOWS\system32\DRIVERS\lv302af.sys
S3 PID_08A0;Labtec WebCam Pro(PID_08A0);C:\WINDOWS\system32\DRIVERS\LV302AV.SYS
S3 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c82a352-3568-11dc-b472-00c0a8c721de}]
AutoRun\command- E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c82a353-3568-11dc-b472-00c0a8c721de}]
AutoRun\command- E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{233fbb80-2482-11dc-b451-00c0a8c721de}]
AutoRun\command- E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a51c532-24e2-11dc-b452-00c0a8c721de}]
AutoRun\command- E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fea67bb9-1ffe-11dc-b444-00140b0465a6}]
AutoRun\command- E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fea67bba-1ffe-11dc-b444-00140b0465a6}]
AutoRun\command- E:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fea67bbf-1ffe-11dc-b444-00140b0465a6}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fea67bc0-1ffe-11dc-b444-00140b0465a6}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe


Contents of the 'Scheduled Tasks' folder
2007-06-29 15:15:45 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-25 12:41:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-25 12:42:18
C:\ComboFix-quarantined-files.txt ... 2007-07-25 12:42

--- E O F ---
-----------------------------------------------------------------------
HJT:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:16, on 25.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\Thoosje Sidebar V2.0\Thoosje Sidebar .exe
E:\PhoneConnectorVMC.exe
E:\vmc.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\livecall.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Drilon\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Sidebar .lnk = C:\Programme\Thoosje Sidebar V2.0\Thoosje Sidebar .exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8E9795C-26EF-44AA-AC54-D45C2CB8330B}: NameServer = 139.7.30.125 139.7.30.126
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 5707 bytes

#13 Entferne auf C:\Qoobox Papierkorb leeren

Installiere und scanne mit AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Fertig

ComboFix wieder entfernen
__________
MfG Argus

#14 also soll ich den GANZEN ordner löschen?
was hat das mit papierkorb leeren zu tun?
Meine dateein werde direkt gelöscht?

Bitte antworten...^^

#15 ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\FunWebProducts
C:\Programme\FunWebProducts\Shared\00CFF8C8.dat
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\system32\rlls.dll
C:\WINDOWS\system32\rlvknlg.exe

Oben stehende Infektionen stecken also in "Qoobox" und die muss gelöscht werden
__________
MfG Argus