Tr\crypt.xpack.gen

#1 Hallo, seit zwei Tagen schlägt Antivir bei mir an. Fehlermeldung: "Auf Ihrem Computer wurde ein Virus[...] gefunden! C:\WINDOWS\system32\_c00EECA4.dat ist das Trojanische Pferd TR\Crypt.XPACK.Gen". (Es wurde außerdem einmal auch schon die Datei _C002EGE.dat angezeigt, jedoch soweit ich es mitbekommen habe wirklich nur einmal, im Gegensatz zu der anderen Melung) Wenn ich dort "löschen" klicke, öffnet sich die Meldung immer wieder. Beim Surfen im Internet öffnen sich immer wieder neue Fenster verschiedenster Seiten. Ich hoffe, Ihr könnt mir helfen!?


COMBOFIX

ComboFix 07-08-03.4 - "Daniel" 2007-08-03 12:44:36.1 [GMT 2:00] - NTFS
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.Wahr
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-07-03 to 2007-08-03 )))))))))))))))))))))))))))))))


2007-08-03 12:41 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-03 12:28 6,774 --a------ C:\dnsbak.reg
2007-08-02 14:16 <DIR> d-------- C:\kav
2007-08-02 14:13 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-02 13:22 <DIR> d-------- C:\Programme\Smart PC Solutions
2007-08-02 13:18 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-02 13:18 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-02 13:18 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-02 13:18 1,538 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-02 13:18 <DIR> d-------- C:\SmitfraudFix
2007-08-02 13:14 886,519 --a------ C:\SmitfraudFix.exe
2007-08-02 00:40 <DIR> d-------- C:\Programme\Lavasoft
2007-08-02 00:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-08-02 00:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-08-02 00:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-01 23:37 80,895 --------- C:\WINDOWS\system32\__c00EECA4.dat
2007-08-01 23:37 69,120 --a------ C:\WINDOWS\system32\__c002E62E.dat
2007-08-01 23:37 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-08-01 22:39 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-07-30 20:52 53,760 -ra------ C:\WINDOWS\system32\avmadd32.dll
2007-07-30 20:52 <DIR> d-------- C:\Programme\FRITZ!Box
2007-07-30 20:46 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-07-30 20:46 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\T-DSL Manager
2007-07-30 20:46 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\T-DSL Manager
2007-07-03 14:21 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-07-03 14:21 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\ICQ
2007-07-03 14:18 <DIR> d-------- C:\Programme\ICQ6
2007-07-03 14:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-02 13:17 1768 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-08-01 22:39 8704 --a-s---- C:\WINDOWS\system32\ktrxe.dll
2007-06-04 15:18 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34E6F97C-34E0-4CE5-B92B-F83634BEDC01}]
C:\Programme\Security Tools\iesplg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USRpdA"="C:\WINDOWS\SYSTEM32\USRmlnkA.exe" [2004-11-11 14:00]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-07-03 14:14]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-04-25 12:29]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - D:\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06]
Microsoft Office.lnk - D:\Microsoft Office\Office\OSA9.EXE [1999-04-29 22:00:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\system32\__c00EECA4.dat

R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 USRpdA;U.S. Robotics 56K PCI Faxmodem Driver;C:\WINDOWS\system32\DRIVERS\USRpdA.sys
S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe"
S3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-03 12:49:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-03 12:52:28

--- E O F ---

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:03, on 03.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll (file missing)
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00EECA4.dat
O22 - SharedTaskScheduler: hemprich - {af8bca8b-a9f1-471d-bdcd-caa14be2bdd9} - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 4532 bytes

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

LOGFILE MIT DATFIND.BAT

Verzeichnis von C:\WINDOWS\system32

03.08.2007 12:11 80.895 __c00EECA4.dat
02.08.2007 13:20 0 tmp.txt
02.08.2007 13:20 1.538 tmp.reg
01.08.2007 23:37 69.120 __c002E62E.dat
01.08.2007 22:39 8.704 ktrxe.dll
01.08.2007 22:27 2.206 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
1889 Datei(en) 323.295.390 Bytes
0 Verzeichnis(se), 2.062.909.440 Bytes frei
.
.
.
Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

03.08.2007 13:02 92.225 datfind.txt
1 Datei(en) 92.225 Bytes
0 Verzeichnis(se), 2.062.946.304 Bytes frei
.
.
.
Verzeichnis von C:\WINDOWS

03.08.2007 12:37 366.588 WindowsUpdate.log
03.08.2007 12:30 0 0.log
03.08.2007 12:30 2.048 bootstat.dat
03.08.2007 12:28 30.606 SchedLgU.Txt
02.08.2007 14:13 229.657 setupapi.log
02.08.2007 13:40 201.710 ntbtlog.txt
02.08.2007 13:21 185.850 setupact.log
02.08.2007 12:05 9.776 EventSystem.log
30.07.2007 21:19 248 accessdll.log
30.07.2007 20:52 105 avmsysnet.log
30.07.2007 20:52 1.473 avmadd32.log
30.07.2007 20:39 27.596 ModemLog_U.S. Robotics 56K Fax Win.txt
20.07.2007 00:47 109.056 catchme.exe
12.07.2007 21:26 216 wiadebug.log
12.07.2007 21:03 50 wiaservc.log
17.06.2007 00:11 51.200 nircmd.exe
87 Datei(en) 6.292.931 Bytes
0 Verzeichnis(se), 2.062.942.208 Bytes frei

#2 Hi,

leider keine Zeit merh, das Ding liegt hier:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\system32\__c00EECA4.dat
(mit avenger beseitigen lassen und mit HJ-fixen);

Das hier online prüfen lassen u. ggf. beseitigen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html
(Verzeichnis C:\WINDOWS\system32)
03.08.2007 12:11 80.895 __c00EECA4.dat<-löschen
02.08.2007 13:20 0 tmp.txt<-löschen
02.08.2007 13:20 1.538 tmp.reg <-löschen
01.08.2007 23:37 69.120 __c002E62E.dat<-löschen
01.08.2007 22:39 8.704 ktrxe.dll<-prüfen
01.08.2007 22:27 2.206 wpa.dbl<-prüfen
22.07.2007 18:39 279.552 swreg.exe<-prüfen
C:\WINDOWS\SYSTEM32\USRmlnkA.exe<-prüfen

Segment für avenger:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\__c00EECA4.dat
C:\WINDOWS\system32\__c002E62E.dat
...hier die sonst noch erkannten reinkopieren... sonst diese Zeile löschen

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00EECA4.dat
O22 - SharedTaskScheduler: hemprich - {af8bca8b-a9f1-471d-bdcd-caa14be2bdd9} - (no file)

Cureit
Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste alle Logs!

Systemwiederherstellung löschen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Chris (eigentlich sollte ich schon längst weg sein....)

#3 Vielen, vielen Dank! Es scheint nach Anwendung der von dir beschriebenen Schritte wieder alles ok zu sein (Antivir schlägt nicht mehr an, im Internetexplorer öffnen sich keine neuen Fenster). Avenger und HJ hab ich wie beschrieben ausgeführt (Logs siehe unten), genauso die Schritte mit der Systemwiederherstellung.

Cureit funktionierte anscheinend aber nicht. Folgender Fehlermeldung gab es beim ausführen der runtergeladenen Datei: "Errors encountered while performing the operation. Look at the information window for details.". In nächsten Fenster dann als Fehlermeldungen, dass folgende Dateien nicht geöffnet werden können: cureit.exe, en-drwebgui.hlp, start.exe.

Hier die Logs:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\coptsbvh

*******************

Script file located at: \??\C:\WINDOWS\system32\pnwulwce.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\__c00EECA4.dat deleted successfully.
File C:\WINDOWS\system32\__c002E62E.dat deleted successfully.
File C:\WINDOWS\system32\tmp.txt deleted successfully.
File C:\WINDOWS\system32\tmp.reg deleted successfully.
File C:\WINDOWS\system32\ktrxe.dll deleted successfully.
File C:\WINDOWS\system32\wpa.dbl deleted successfully.
File C:\WINDOWS\system32\swreg.exe deleted successfully.
File C:\WINDOWS\system32\usrmlnka.exe deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:39, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Daniel\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll (file missing)
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O22 - SharedTaskScheduler: hemprich - {af8bca8b-a9f1-471d-bdcd-caa14be2bdd9} - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 4635 bytes

#4 Hallo 69wegi

du solltest noch mit HijackThis fixen + PC danach neustarten:

O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll (file missing)
----------------------------------------------------------------------

Hallihallo Chris

fein, wie du hier den Laden schmeisst
Ich habe alles vergessen - von nichts mehr Ahnung - 5 Monate sind eine lange Zeit ......
Ich schaue auf die Logs und verstehe nur Bahnhof - mal sehen, ob ich mich wieder einarbeite...
Gruesse vom soweit gesunden Pinguin (Sabina)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Beim Scan mit HijackThis wird die von dir gepostete Zeile nicht angezeigt. Was tun?

#6 Hi,

das sollte nichts machen...

@Pinguin/Sabina,
schön dass Du wieder da bist!
Wird bestimmt wieder alles werden!
PM an Dich!
Chris

#7 Aber wie mache ich das dann? Ich kann die Zeile ja nicht zum fixen markieren. Oder stehe ich grad total auf dem Schlauch???

#8 Hi,

dann scheint er schon weg zu sein, prüfe ob Du das File finden kannst (C:\Programme\Security Tools\iesplg.dll).

Nenne die H-Exe auf test.com um und probiere es dann noch mal (einige Viren/Trojaner) erkennen die HJ-EXE und stellen sich dann tot bzw. manipulieren die
Registery....

chris

#9 Datei (und Verzeichnis) ist nicht mehr vorhanden, beim Test mit umbenannten HJ wurde auch nichts erkannt. Scheint dann ja alles clean zu sein!?

#10 Hallo Leute,

ich hab so ziemlich das gleiche Problem wie "96wegi" das hier geschildert hat. Nur das sich nicht beim Surfen die verschiedenen Seiten öffnen sondern bei der Google Suche. Sobald ich auf ein Suchergebniss von Google gehe, werde ich umgeleitet auf Spamseiten.

Ich hab aber ein fehler germacht. Ich hab ausversehen bei Antivir den Trojaner zugelassen.

Siehe Antivir Log:

""""""""""""
In der Datei 'C:\Windows\Temp\tempo-C4F.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben
""""""""""""

Hab dann dieses HijackThis durchlaufen lassen und folgendes Ergebniss bekommen.

""""""""""""
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17:49, on 18.11.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\vVX3000.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\regedit.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{22797F9B-7F74-4F56-8DFF-BE0B5A7040D1}: NameServer = 85.255.112.151;85.255.112.146
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB4D257F-F3CB-4F63-A482-B23DFC42F8B5}: NameServer = 85.255.112.151;85.255.112.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{22797F9B-7F74-4F56-8DFF-BE0B5A7040D1}: NameServer = 85.255.112.151;85.255.112.146
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiak.exe

--
End of file - 4751 bytes

""""""""""""


Und jetzt hörts auf.
Das sind für mich alles Böhmische Wälder.
Hab keine Ahnung was ich jetzt machen muss.

Ich würde mich freuen wenn sich jemand erbarmt mir das Prozedere zu erklären wie ich diesen Trojaner entfernen kann.


Vielen Dank


Gruß

Peter

#11 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
Note*
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden).

-> Start->Ausführen->schreib/kopiere rein: ipconfig /flushdns (beachte das Leerzeichen hinter 'ipconfig'!)

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#12 Veelen Dank für die rasche Antwort. Habs genau so durchgeführt.


Hier die LogDateien:

Malwarebytes Anti-Malware:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 6.0.6001 Service Pack 1

19.11.2008 18:35:07
mbam-log-2008-11-19 (18-35-07).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 41227
Laufzeit: 3 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{cb4d257f-f3cb-4f63-a482-b23dfc42f8b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{cb4d257f-f3cb-4f63-a482-b23dfc42f8b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{22797f9b-7f74-4f56-8dff-be0b5a7040d1}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{cb4d257f-f3cb-4f63-a482-b23dfc42f8b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.151;85.255.112.146 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.



ComboFix:

ComboFix 08-11-18.A2 - Peter 2008-11-19 19:01:16.1 - NTFSx86
Microsoft® Windows Vista™ Business 6.0.6001.1.1252.1.1031.18.1391 [GMT 1:00]
ausgeführt von:: c:\users\Peter\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\program files\Mozilla Firefox\components\iamfamous.dll
D:\Autorun.inf
D:\resycled
d:\resycled\boot.com
F:\Autorun.inf
F:\resycled
f:\resycled\boot.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Windows Tribute Service


((((((((((((((((((((((( Dateien erstellt von 2008-10-19 bis 2008-11-19 ))))))))))))))))))))))))))))))
.

2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\users\Peter\AppData\Roaming\Malwarebytes
2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\users\All Users\Malwarebytes
2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\programdata\Malwarebytes
2008-11-19 18:30 . 2008-11-19 18:30 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-19 18:30 . 2008-10-22 16:10 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2008-11-19 18:30 . 2008-10-22 16:10 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2008-11-18 22:58 . 2008-11-18 22:58 <DIR> d-------- c:\program files\Trend Micro
2008-11-18 21:53 . 2008-11-18 21:53 <DIR> d-------- c:\program files\MSECache
2008-11-16 21:01 . 2008-11-18 22:01 <DIR> d-------- c:\users\Peter\AppData\Roaming\skypePM
2008-11-16 21:01 . 2008-11-16 21:01 48 --ah----- c:\windows\System32\ezsidmv.dat
2008-11-16 16:56 . 2008-11-18 22:01 <DIR> d-------- c:\users\Peter\AppData\Roaming\Skype
2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\users\All Users\Skype
2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\programdata\Skype
2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\program files\Skype
2008-11-16 16:54 . 2008-11-16 16:54 <DIR> d-------- c:\program files\Common Files\Skype
2008-11-16 16:05 . 2008-11-16 16:06 <DIR> d-------- c:\program files\Microsoft LifeCam
2008-11-16 16:04 . 2007-07-19 18:14 3,727,720 --a------ c:\windows\System32\d3dx9_35.dll
2008-11-16 15:42 . 2008-09-10 04:40 1,334,272 --a------ c:\windows\System32\msxml6.dll
2008-11-16 15:42 . 2008-09-05 06:14 1,191,936 --a------ c:\windows\System32\msxml3.dll
2008-11-16 15:42 . 2008-08-27 02:05 212,480 --a------ c:\windows\System32\drivers\mrxsmb10.sys
2008-11-11 21:15 . 2008-11-11 21:38 <DIR> d-------- c:\users\Peter\AppData\Roaming\vlc
2008-11-11 21:14 . 2008-11-11 21:14 <DIR> d-------- c:\program files\VideoLAN
2008-11-10 08:27 . 2008-05-27 06:18 350,208 --a------ c:\windows\System32\mssph.dll
2008-11-10 08:27 . 2008-05-27 06:18 203,776 --a------ c:\windows\System32\mssphtb.dll
2008-11-09 21:47 . 2006-10-26 19:58 30,512 --a------ c:\windows\System32\mdimon.dll
2008-11-09 21:46 . 2006-10-26 19:56 32,592 --a------ c:\windows\System32\msonpmon.dll
2008-11-09 21:45 . 2008-11-09 21:45 <DIR> d-------- c:\program files\Microsoft Works
2008-11-09 21:43 . 2008-11-09 21:43 <DIR> d-------- c:\windows\PCHEALTH
2008-11-09 21:43 . 2008-11-09 21:43 <DIR> d-------- c:\program files\Microsoft.NET
2008-11-09 21:02 . 2008-07-16 02:32 2,048 --a------ c:\windows\System32\tzres.dll
2008-11-09 20:22 . 2008-02-29 08:11 988,216 --a------ c:\windows\System32\winload.exe
2008-11-09 20:22 . 2008-02-29 08:11 927,288 --a------ c:\windows\System32\winresume.exe
2008-11-09 20:22 . 2008-02-22 06:05 615,992 --a------ c:\windows\System32\ci.dll
2008-11-09 20:22 . 2008-02-29 07:53 378,368 --a------ c:\windows\System32\srcore.dll
2008-11-09 20:22 . 2008-02-29 05:12 318,464 --a------ c:\windows\System32\rstrui.exe
2008-11-09 20:22 . 2008-02-29 07:53 46,592 --a------ c:\windows\System32\setbcdlocale.dll
2008-11-09 20:22 . 2008-02-29 07:53 40,960 --a------ c:\windows\System32\srclient.dll
2008-11-09 20:22 . 2008-02-29 08:14 19,000 --a------ c:\windows\System32\kd1394.dll
2008-11-09 20:22 . 2008-02-29 05:12 14,848 --a------ c:\windows\System32\srdelayed.exe
2008-11-09 20:22 . 2008-02-29 07:35 6,656 --a------ c:\windows\System32\kbd106n.dll
2008-11-09 20:15 . 2008-11-09 20:15 <DIR> d-------- c:\users\All Users\Avira
2008-11-09 20:15 . 2008-11-09 20:15 <DIR> d-------- c:\programdata\Avira
2008-11-09 20:15 . 2008-11-09 20:15 <DIR> d-------- c:\program files\Avira
2008-11-09 20:12 . 2008-11-17 10:58 <DIR> d-------- c:\users\All Users\Microsoft Help
2008-11-09 20:12 . 2008-11-17 10:58 <DIR> d-------- c:\programdata\Microsoft Help
2008-11-09 20:09 . 2008-11-09 20:09 <DIR> dr-h----- C:\MSOCache
2008-11-09 20:05 . 2008-11-09 20:05 <DIR> d-------- c:\program files\DAEMON Tools Lite
2008-11-09 19:53 . 2008-11-09 19:53 <DIR> d-------- C:\PerfLogs
2008-11-09 19:34 . 2008-11-09 18:53 152,576 --a------ c:\windows\System32\SPWizUI.dll
2008-11-09 19:34 . 2008-11-09 18:53 47,560 --a------ c:\windows\System32\SPReview.exe
2008-11-09 19:33 . 2008-11-09 19:33 <DIR> d-------- c:\users\Peter\AppData\Roaming\DAEMON Tools
2008-11-09 19:33 . 2008-11-09 19:33 717,296 --a------ c:\windows\System32\drivers\sptd.sys
2008-11-09 19:17 . 2008-11-09 19:19 <DIR> d-------- c:\users\All Users\Adobe
2008-11-09 19:15 . 2008-11-09 19:18 <DIR> d-------- c:\program files\Common Files\Adobe
2008-11-09 19:15 . 2008-07-31 02:13 4,240,384 --a------ c:\windows\System32\GameUXLegacyGDFs.dll
2008-11-09 19:15 . 2008-03-08 05:21 1,695,744 --a------ c:\windows\System32\gameux.dll
2008-11-09 19:15 . 2008-05-10 02:33 113,664 --a------ c:\windows\System32\drivers\rmcast.sys
2008-11-09 19:15 . 2008-07-31 04:32 28,160 --a------ c:\windows\System32\Apphlpdm.dll
2008-11-09 19:14 . 2008-06-26 02:45 12,240,896 --a------ c:\windows\System32\NlsLexicons0007.dll
2008-11-09 19:14 . 2008-06-26 02:45 2,644,480 --a------ c:\windows\System32\NlsLexicons0009.dll
2008-11-09 19:14 . 2008-06-26 04:29 801,280 --a------ c:\windows\System32\NaturalLanguage6.dll
2008-11-09 19:13 . 2008-11-18 21:56 <DIR> d--hs---- c:\windows\Installer
2008-11-09 19:11 . 2008-09-18 06:09 3,601,464 --a------ c:\windows\System32\ntkrnlpa.exe
2008-11-09 19:11 . 2008-09-18 06:09 3,549,240 --a------ c:\windows\System32\ntoskrnl.exe
2008-11-09 19:09 . 2008-11-09 19:10 <DIR> d-------- c:\users\All Users\NOS
2008-11-09 19:09 . 2008-11-09 19:10 <DIR> d-------- c:\programdata\NOS
2008-11-09 19:09 . 2008-04-26 09:08 1,314,816 --a------ c:\windows\System32\quartz.dll
2008-11-09 19:09 . 2008-01-18 23:33 193,024 --a------ c:\windows\System32\recdisc.exe
2008-11-09 19:09 . 2008-01-18 23:36 6,656 --a------ c:\windows\System32\sdspres.dll
2008-11-09 19:08 . 2008-01-18 23:33 599,552 --a------ c:\windows\System32\vsp1cln.exe
2008-11-09 19:08 . 2008-01-18 23:36 142,336 --a------ c:\windows\System32\spp.dll
2008-11-09 19:08 . 2008-01-18 23:36 28,160 --a------ c:\windows\System32\sxproxy.dll
2008-11-09 19:06 . 2008-01-18 23:33 5,714,432 --a------ c:\windows\System32\logon.scr
2008-11-09 19:05 . 2008-01-18 23:38 4,595,712 --a------ c:\windows\System32\AuthFWSnapin.dll
2008-11-09 18:56 . 2008-11-19 00:06 <DIR> d-------- c:\program files\Winexit
2008-11-09 18:55 . 2008-11-09 20:35 <DIR> d-------- c:\program files\Google
2008-11-09 18:55 . 2008-01-18 23:33 44,032 --a------ c:\windows\System32\cbsra.exe
2008-11-09 18:53 . 2008-11-09 19:35 49,152 --a------ c:\windows\SPInstall.etl
2008-11-09 18:45 . 2008-11-09 18:45 <DIR> d-------- c:\windows\System32\Macromed
2008-11-09 18:32 . 2008-11-09 18:32 <DIR> d-------- c:\users\Peter\AppData\Roaming\FlashGet
2008-11-09 18:26 . 2008-11-09 18:26 0 --a------ c:\windows\nsreg.dat
2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Videos
2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Searches
2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Saved Games
2008-11-09 18:13 . 2008-11-18 15:47 <DIR> dr------- c:\users\Peter\Pictures
2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Music
2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Links
2008-11-09 18:13 . 2008-11-09 19:02 <DIR> dr------- c:\users\Peter\Downloads
2008-11-09 18:13 . 2008-11-19 17:58 <DIR> dr------- c:\users\Peter\Documents
2008-11-09 18:13 . 2008-11-09 18:13 <DIR> dr------- c:\users\Peter\Contacts
2008-11-09 18:13 . 2008-11-09 18:13 <DIR> d--h----- c:\users\Peter\AppData
2008-11-09 18:13 . 2008-11-16 16:16 <DIR> d-------- c:\users\Peter
2008-11-09 18:09 . 2008-11-09 18:09 <DIR> dr------- c:\windows\System32\config\systemprofile\Contacts
2008-11-09 18:05 . 2008-11-09 18:05 0 --a------ c:\windows\System32\atiicdxx.dat
2008-11-09 18:03 . 2008-11-18 02:02 <DIR> d-------- c:\windows\System32\catroot2
2008-11-09 18:03 . 2008-11-09 20:54 <DIR> d-------- c:\windows\Debug
2008-11-09 18:00 . 2008-11-09 18:06 <DIR> d-------- c:\windows\Panther
2008-11-09 18:00 . 2008-11-09 20:04 <DIR> d--hs---- C:\Boot
2008-11-09 18:00 . 2008-01-18 23:45 333,203 -rahs---- C:\bootmgr
2008-11-09 18:00 . 2008-11-09 18:00 8,192 -ra-s---- C:\BOOTSECT.BAK

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-09 20:15 --------- d-----w c:\program files\Windows Mail
2008-11-09 19:03 174 --sha-w c:\program files\desktop.ini
2008-11-09 18:55 --------- d-----w c:\program files\Windows Sidebar
2008-11-09 18:55 --------- d-----w c:\program files\Windows Photo Gallery
2008-11-09 18:55 --------- d-----w c:\program files\Windows Journal
2008-11-09 18:55 --------- d-----w c:\program files\Windows Defender
2008-11-09 18:55 --------- d-----w c:\program files\Windows Collaboration
2008-11-09 18:55 --------- d-----w c:\program files\Windows Calendar
2008-11-09 17:09 --------- d-sh--w c:\programdata\Vorlagen
2008-11-09 17:09 --------- d-sh--w c:\programdata\Startmenü
2008-11-09 17:09 --------- d-sh--w c:\programdata\Favoriten
2008-11-09 17:09 --------- d-sh--w c:\programdata\Dokumente
2008-11-09 17:09 --------- d-sh--w c:\programdata\Anwendungsdaten
2008-11-09 17:09 --------- d-sh--w c:\program files\Gemeinsame Dateien
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\startupfolder\C:^Users^Peter^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Peter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
--a------ 2008-08-04 16:22 160800 c:\program files\Microsoft LifeCam\LifeExp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]
--a------ 2008-08-04 16:22 721936 c:\windows\vVX3000.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-203008235-2699050136-378898766-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{8811E062-95F8-49EB-87E1-080846ECF94C}c:\\program files\\flashget\\flashget.exe"= UDP:c:\program files\flashget\flashget.exe:FlashGet
"UDP Query User{EF793C57-20E5-4107-B9CA-5840C15FAAF2}c:\\program files\\flashget\\flashget.exe"= TCP:c:\program files\flashget\flashget.exe:FlashGet
"{C70EC4B8-9E72-4A1E-A31E-6B96B8EFACCC}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{5E506DBF-3E4D-46C0-8A1E-B2CA75A253D3}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{07770976-CDBE-4236-8E46-07D3B10E3FDE}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{849C2BAB-5CCC-4C32-9018-DD57FD775DB1}"= UDP:c:\program files\Microsoft LifeCam\LifeCam.exe:LifeCam.exe
"{7B36BB14-2E5E-4089-B2E4-EBB6345E1366}"= TCP:c:\program files\Microsoft LifeCam\LifeCam.exe:LifeCam.exe
"{F59DD0A0-F4C0-4D46-90A7-BC2EBC71C40F}"= UDP:c:\program files\Microsoft LifeCam\LifeEnC2.exe:LifeEnC2.exe
"{2DF06E85-9ABD-4E53-8D35-D1A72A199257}"= TCP:c:\program files\Microsoft LifeCam\LifeEnC2.exe:LifeEnC2.exe
"{8F86B2C5-0C1B-4FB1-A7FA-B7D955137A50}"= UDP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{6B9C7B80-833F-4F47-A8D5-F2C50CF21042}"= TCP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{AD3DD464-BFF3-426E-BF3F-503409C7C9E1}"= UDP:c:\program files\Microsoft LifeCam\LifeTray.exe:LifeTray.exe
"{091AB8DC-FF77-4D60-809B-A77A986D95B3}"= TCP:c:\program files\Microsoft LifeCam\LifeTray.exe:LifeTray.exe
"{D27C39D7-0FC0-428D-AE05-8BE1E18E0D36}"= c:\program files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R2 MSCamSvc;MSCamSvc;"c:\program files\Microsoft LifeCam\MSCamS32.exe" [2008-08-04 164896]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners

2008-11-19 c:\windows\Tasks\User_Feed_Synchronization-{BDE3018D-781C-4C22-A2EB-7E9CB950AAB5}.job
- c:\windows\system32\msfeedssync.exe [2008-01-18 23:33]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-D29 - c:\windows\temp\D29.tmp


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\lbjwikbf.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - c:\program files\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - c:\users\Peter\AppData\Roaming\Mozilla\Firefox\Profiles\lbjwikbf.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 19:09:55
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\microsoft shared\VS7DEBUG\mdm.exe
c:\windows\System32\conime.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-19 19:13:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-19 18:13:02

Vor Suchlauf: 15 Verzeichnis(se), 33.941.798.912 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 33,609,031,680 Bytes frei

224 --- E O F --- 2008-11-18 01:15:04


HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:55, on 19.11.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\Explorer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)

--
End of file - 2527 bytes


Besten Dank noch mal für die rasche Hilfe!

#13 CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

Update MBAM und scanne nochmal

Benutze CCleaner
Entferne bei Windows den Haaken bei cookies
Saubere die Registry
__________
MfG Argus