'TR/Spy.Agent.42496' auf dem rechner

#1 hallo alle zusammen!
ich hab ein problem...und zwar ist bei mir auf dem rechner der trojaner 'TR/Spy.Agent.42496' zugange
jetzt meine frage wie bekomm ich den genau wieder weg?
wär schön wenn mir jemand helfen könnte

#2 1. lad hijackthis:
www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html -
59k -
das programm muss unbedingt in einen eigenen ordner! sonst können keine backups angelegt werden.
1.1 ordneransichten einstellen:
öffne arbeitsplatz,extras,ordneroptionen,ansicht dort einstellen dateienamenerweiterungen bei bekannten dateitypen ausblenden off
inhalte von systemordnern einblenden on geschützte systemdateien ausblenden off
und versteckte dateien und ordner anzeigen on
bitte benenne nur die hijackthis.exe in hjt.com um da sich malware verstecken kann nun öffnen scan and safe log klicken und dieses posten!
2. lad combofix:
http://virus-protect.org/artikel/tools/combofix.html
poste log.
3. lad filelist entpacke auf desktop, klicke filelist.bat poste von jedem verzeichniss die letzten 2 monate.
http://members.linzag.net/680262/filelist.zip

#3 ok...hab ich gemacht

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:17, on 24.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\FastStone Browser\FSBrowser.exe
C:\Dokumente und Einstellungen\Eik\Desktop\Neuer Ordner\hjt.com
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {B90AADC2-EF02-4ADB-AC9B-CE21585711B2} - C:\WINDOWS\system32\imesiare.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://85.233.48.18/activex/AxisCamControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - http://support.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8365 bytes
_________________________________________________________________

von ComboFix

ComboFix 07-11-19.3 - Eik 2007-11-24 14:05:59.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.141 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eik\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-24 bis 2007-11-24 ))))))))))))))))))))))))))))))
.

2007-11-23 19:23 <DIR> d-------- C:\Programme\MOVAVI VideoSuite 3.4
2007-11-23 19:23 <DIR> d-------- C:\Programme\MOVAVI
2007-11-20 12:57 <DIR> d-------- C:\Programme\QuickTime
2007-11-20 11:37 0 --a------ C:\WINDOWS\system32\QuickTime.qtp
2007-11-19 21:00 <DIR> d-------- C:\Programme\iPod movie Converter
2007-11-18 14:35 <DIR> d-------- C:\Programme\iTunes
2007-11-18 14:35 <DIR> d-------- C:\Programme\iPod
2007-11-18 14:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-11-18 14:32 <DIR> d-------- C:\Programme\Apple Software Update
2007-11-18 14:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-18 14:32 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2007-11-03 16:10 <DIR> dr-h----- C:\Dokumente und Einstellungen\Eik\Anwendungsdaten\SecuROM
2007-11-03 15:35 <DIR> d-------- C:\Programme\Tomb Raider - Anniversary
2007-10-27 09:58 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-10-27 09:58 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-10-26 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\Eik\Anwendungsdaten\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-24 11:45 --------- d-----w C:\Programme\eMule
2007-11-24 10:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HDD Thermometer
2007-11-23 19:23 --------- d-----w C:\Dokumente und Einstellungen\Eik\Anwendungsdaten\Azureus
2007-11-19 15:45 --------- d-----w C:\Programme\ICQToolbar
2007-11-18 15:31 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-18 13:56 --------- d-----w C:\Dokumente und Einstellungen\Eik\Anwendungsdaten\Apple Computer
2007-11-18 13:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-11-18 10:16 --------- d-----w C:\Dokumente und Einstellungen\Eik\Anwendungsdaten\dvdcss
2007-11-13 12:55 --------- d-----w C:\Programme\Azureus
2007-11-05 16:43 --------- d-----w C:\Programme\ICQ6
2007-10-31 14:56 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-28 10:58 --------- d-----w C:\Dokumente und Einstellungen\Eik\Anwendungsdaten\My Games
2007-10-26 14:03 --------- d-----w C:\Programme\FastStone Browser
2007-10-05 16:44 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-05 16:35 --------- d-----w C:\Programme\Firaxis Games
2007-10-05 13:57 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2007-09-27 07:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-16 07:42 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
.

((((((((((((((((((((((((((((( snapshot@2007-11-24_13.08.38,25 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-24 11:47:37 52,860 ----a-w C:\WINDOWS\system32\wsnpoem\audio.dll
+ 2007-11-24 12:53:15 57,450 ----a-w C:\WINDOWS\system32\wsnpoem\audio.dll
+ 2007-11-24 12:54:29 32,768 --sha-w C:\WINDOWS\Temp\History\History.IE5\MSHist012007112420071125\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B90AADC2-EF02-4ADB-AC9B-CE21585711B2}]
2007-06-06 17:18 38515 --a------ C:\WINDOWS\system32\imesiare.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-25 19:11]
"RSD_HDDThermo"="C:\Programme\HDD Thermometer\HDD Thermometer.exe" [2005-04-01 18:02]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 16:55]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-09-07 15:51]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 19:11]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-10 17:07]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 04:19]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 11:48]
"NvCplDaemon"="RUNDLL32.exe" [2002-12-31 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2007-04-19 12:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2002-12-31 13:00 C:\WINDOWS\system32\rundll32.exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-15 13:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 20:16]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00]

C:\Dokumente und Einstellungen\Eik\Startmen�\Programme\Autostart\
PowerReg Scheduler V3.exe [2007-05-12 18:19:14]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2002-06-27 01:20:58]
officejet 6100.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe [2002-06-27 01:21:30]

R2 ACEDRV08;ACEDRV08;\??\C:\WINDOWS\system32\drivers\ACEDRV08.sys
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys
S3 jnv4_mib;jnv4_mib;\??\C:\DOKUME~1\Eik\LOKALE~1\Temp\jnv4_mib.sys
S3 USBAAPL;Apple Mobile USB Driver;C:\WINDOWS\system32\Drivers\usbaapl.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-11-23 16:15:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-05-19 14:34:08 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1171812810.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-24 14:09:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe 131072 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-24 14:11:38
C:\ComboFix2.txt ... 2007-11-24 13:09
.
--- E O F ---
_________________________________________________________________
und die filelist


----- Root -----------------------------
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 740C-3637

Verzeichnis von C:\

24.11.2007 14:13 43 filelist.txt
24.11.2007 14:11 7.144 ComboFix.txt
24.11.2007 13:09 6.984 ComboFix2.txt
24.11.2007 11:24 805.306.368 pagefile.sys
16.09.2007 09:07 193.501 AnalysisLog.sr0
15.09.2007 11:52 5.694 Sdicon32.ico
22.08.2007 11:40 458 memory.txt
20.08.2007 18:31 232 sqmdata02.sqm
20.08.2007 18:31 244 sqmnoopt02.sqm
08.07.2007 22:00 11.264 dvb.GRF
16.06.2007 17:35 125 ioSpecial.ini
27.01.2007 17:14 268 sqmdata01.sqm
27.01.2007 17:14 244 sqmnoopt01.sqm
05.01.2007 10:35 244 sqmnoopt00.sqm
05.01.2007 10:35 268 sqmdata00.sqm
04.01.2007 15:53 0 AUTOEXEC.BAT
04.01.2007 15:53 0 IO.SYS
04.01.2007 15:53 0 CONFIG.SYS
04.01.2007 15:53 0 MSDOS.SYS
04.01.2007 15:47 211 boot.ini

----- Windows --------------------------
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 740C-3637

Verzeichnis von C:\WINDOWS

24.11.2007 11:26 1.661.389 WindowsUpdate.log
24.11.2007 11:25 0 0.log
24.11.2007 11:25 157 wiadebug.log
24.11.2007 11:25 50 wiaservc.log
24.11.2007 11:25 54.156 QTFont.qfn
24.11.2007 11:24 2.048 bootstat.dat
23.11.2007 21:09 32.580 SchedLgU.Txt
23.11.2007 19:23 3.078 wmsetup.log
23.11.2007 18:48 116 NeroDigital.ini
21.11.2007 16:10 106.449 setupapi.log
20.11.2007 13:00 1.409 QTFont.for
14.11.2007 17:02 6.735 iis6.log
14.11.2007 17:02 342 ocmsn.log
14.11.2007 17:02 1.393 imsins.log
14.11.2007 17:02 1.229 ntdtcsetup.log
14.11.2007 17:02 2.821 tsoc.log
14.11.2007 17:02 311 tabletoc.log
14.11.2007 17:02 2.026 comsetup.log
14.11.2007 17:02 8.299 KB943460.log
14.11.2007 17:02 1.083 netfxocm.log
14.11.2007 17:02 2.916 ocgen.log
14.11.2007 17:02 425 MedCtrOC.log
14.11.2007 17:02 309 msgsocm.log
14.11.2007 17:02 6.182 FaxSetup.log
14.11.2007 17:02 1.906 msmqinst.log
14.11.2007 17:02 0 setuperr.log
14.11.2007 17:02 0 setupact.log
14.11.2007 17:02 1.184 updspapi.log
08.11.2007 16:59 136.704 catchme.exe
03.11.2007 16:10 403.584 DirectX.log
27.10.2007 10:16 407 nsw.log
25.10.2007 13:57 2.665 SwSys2.bmp
25.10.2007 13:57 2.665 SwSys1.bmp
11.10.2007 14:15 26 neosetup.INI

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 740C-3637

Verzeichnis von C:\WINDOWS\system32

24.11.2007 11:25 55.080 vsconfig.xml
24.11.2007 11:25 88.057 nvapps.xml
23.11.2007 15:10 2.206 wpa.dbl
20.11.2007 11:37 0 QuickTime.qtp
02.11.2007 08:12 18.238.072 MRT.exe
31.10.2007 15:56 108.144 CmdLineExt.dll
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 10:55 58.596 perfc009.dat
28.10.2007 10:55 392.296 perfh009.dat
28.10.2007 10:55 405.118 perfh007.dat
28.10.2007 10:55 70.580 perfc007.dat
28.10.2007 10:55 938.224 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
19.10.2007 20:16 49.152 QuickTime.qts
19.10.2007 20:16 65.536 QuickTimeVR.qtx

----- Prefetch -------------------------
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 740C-3637

Verzeichnis von C:\WINDOWS\Prefetch

24.11.2007 14:13 117.380 WINRAR.EXE-3588DFE8.pf
24.11.2007 14:11 59.774 NOTEPAD.EXE-336351A9.pf
24.11.2007 14:11 12.158 NIRCMD.CFEXE-19FF4781.pf
24.11.2007 14:11 15.098 CMD.EXE-087B4001.pf
24.11.2007 14:11 31.122 DUMPHIVE.CFEXE-2ED3B134.pf
24.11.2007 14:11 28.646 SED.CFEXE-268D7E58.pf
24.11.2007 14:10 30.444 WMIPRVSE.EXE-28F301A9.pf
24.11.2007 14:10 38.348 CSCRIPT.EXE-1C26180C.pf
24.11.2007 14:10 42.810 IMAPI.EXE-0BF740A4.pf
24.11.2007 14:10 20.470 VERCLSID.EXE-3667BD89.pf
24.11.2007 14:10 11.016 MTEE.CFEXE-1E067BC7.pf
24.11.2007 14:10 13.760 SWREG.CFEXE-2BF4FFCD.pf
24.11.2007 14:10 11.008 VFIND.CFEXE-2033727F.pf
24.11.2007 14:09 20.882 REGT.CFEXE-15DB5DAE.pf
24.11.2007 14:09 14.838 FINDSTR.EXE-0CA6274B.pf
24.11.2007 14:09 22.742 GREP.CFEXE-20443039.pf
24.11.2007 14:09 13.972 SWXCACLS.CFEXE-365F7973.pf
24.11.2007 14:09 13.936 SWSC.CFEXE-3B4FE4FE.pf
24.11.2007 14:05 13.852 SWREG.EXE-3688D00C.pf
24.11.2007 14:05 11.388 CHCP.COM-18156052.pf
24.11.2007 14:05 11.310 NIRCMD.EXE-1F7FED22.pf
24.11.2007 14:05 51.286 COMBOFIX.EXE-287B7E3D.pf
24.11.2007 14:05 128.894 NMINDEXSTORESVR.EXE-1DBCF9FD.pf
24.11.2007 13:55 129.824 ITUNES.EXE-15E88941.pf
24.11.2007 13:55 15.218 RUNDLL32.EXE-451FC2C0.pf
24.11.2007 13:52 131.102 FSBROWSER.EXE-2D3893F7.pf
24.11.2007 13:42 61.382 AVSCAN.EXE-05AECC0E.pf
24.11.2007 13:41 68.918 AVCENTER.EXE-37584419.pf
24.11.2007 13:21 114.654 AVC.EXE-3B01F8A7.pf
24.11.2007 13:21 93.348 VIDEOENC.EXE-3919A067.pf
24.11.2007 13:19 56.310 HIJACKTHIS.EXE-0D43FD79.pf
24.11.2007 13:03 23.240 SETPATH.CFEXE-034E3D26.pf
24.11.2007 13:03 58.802 ERUNT.CFEXE-039977DB.pf
24.11.2007 12:51 101.056 WINWORD.EXE-3395695A.pf
24.11.2007 12:49 91.024 IEXPLORE.EXE-2CA9778D.pf
24.11.2007 12:45 145.896 VLC.EXE-29851A71.pf
24.11.2007 12:44 105.676 WMPLAYER.EXE-09969339.pf
24.11.2007 11:56 79.650 GUARDGUI.EXE-1BD45C30.pf
24.11.2007 11:55 68.944 DFRGNTFS.EXE-269967DF.pf
24.11.2007 11:55 20.788 DEFRAG.EXE-273F131E.pf
24.11.2007 11:55 437.830 Layout.ini
24.11.2007 11:41 51.532 UPDCLIENT.EXE-215FC96B.pf
24.11.2007 11:37 17.830 HIJACKTHIS.EXE-1943B38A.pf
24.11.2007 11:33 85.202 EMULE.EXE-184A63F1.pf
24.11.2007 11:27 74.322 SVCHOST.EXE-3530F672.pf
24.11.2007 11:26 80.832 WUAUCLT.EXE-399A8E72.pf
24.11.2007 11:26 53.946 AVNOTIFY.EXE-22AE9451.pf
24.11.2007 11:26 95.228 ICQ.EXE-3425F561.pf
24.11.2007 11:26 17.310 ALG.EXE-0F138680.pf
24.11.2007 11:26 18.918 IPODSERVICE.EXE-233792DA.pf
24.11.2007 11:26 24.250 HPOSTS08.EXE-08870E46.pf
24.11.2007 11:26 14.042 HPZIPM12.EXE-145E7369.pf
24.11.2007 11:26 20.980 HPOSDN08.EXE-03581389.pf
24.11.2007 11:26 29.144 RUNDLL32.EXE-35A483DA.pf
24.11.2007 11:26 732.160 NTOSBOOT-B00DFAAD.pf
23.11.2007 21:09 18.838 LOGONUI.EXE-0AF22957.pf
23.11.2007 20:32 85.018 WMPLAYER.EXE-09969338.pf
23.11.2007 20:21 26.934 RUNDLL32.EXE-3EA48D0A.pf
23.11.2007 20:21 27.504 RUNDLL32.EXE-2D677E4D.pf
23.11.2007 20:11 14.468 REALSCHED.EXE-0A2A7558.pf
23.11.2007 20:00 73.296 REALPLAY.EXE-39F79CBD.pf
23.11.2007 19:47 52.314 CONVERTMOVIE.EXE-10D8FE9B.pf
23.11.2007 19:47 25.776 SUITE.EXE-0325184F.pf
23.11.2007 19:39 131.996 MSIEXEC.EXE-2F8A8CAE.pf
23.11.2007 19:39 12.822 EXECUNINSTALL.EXE-11A2F976.pf
23.11.2007 19:39 62.442 VIDEOCONVERTER.EXE-204B1072.pf
23.11.2007 19:23 16.000 WMFDIST.EXE-2868E8C8.pf
23.11.2007 19:23 21.850 SETUP_WM.EXE-3507A842.pf
23.11.2007 19:23 35.704 SUITESETUP.EXE-1490C7A7.pf
23.11.2007 19:10 116.340 AZUREUS.EXE-018E10AA.pf
23.11.2007 19:02 36.358 ICQUPDATER.EXE-2349D6D3.pf
23.11.2007 18:57 64.320 TASKMGR.EXE-20256C55.pf
23.11.2007 18:57 145.802 DUMPREP.EXE-1B46F901.pf
23.11.2007 18:55 1.420 SETUP.EXE-37EDA3B6.pf
23.11.2007 18:34 23.644 RUNDLL32.EXE-3114B68E.pf
23.11.2007 18:27 43.548 WINRAR.EXE-158A1B73.pf
23.11.2007 18:26 11.254 RAREXTLOADER.EXE-084A7179.pf
23.11.2007 18:15 13.668 GLB1A2B.EXE-031D5045.pf
23.11.2007 18:15 18.226 UNWISE.EXE-021F7D34.pf
23.11.2007 18:12 81.166 AZUREUS.EXE-0561B197.pf
23.11.2007 18:02 64.016 EXPORTCONTROLLER.EXE-2AE60AF2.pf
23.11.2007 18:02 115.368 QUICKTIMEPLAYER.EXE-1683395B.pf
23.11.2007 18:02 100.846 WMPLAYER.EXE-09969332.pf
23.11.2007 18:00 28.536 WMFDIST.EXE-2A48CA6A.pf
23.11.2007 18:00 16.730 VIDEOCONVERTERSETUP[1].EXE-331D5C5A.pf
23.11.2007 17:58 15.286 LMI-IMTOO IPOD MOVIE CONVERTE-116C64AB.pf
23.11.2007 17:55 27.544 YASA3GPCONVERTER.EXE-009D9CC1.pf
23.11.2007 17:55 16.514 SETUP_YASA3GPCONVERTER-21501[-1A1C5E85.pf
23.11.2007 17:30 24.998 DWWIN.EXE-30875ADC.pf
23.11.2007 17:29 29.150 JUCHECK.EXE-088F15E6.pf
23.11.2007 17:29 13.498 JAVA.EXE-06005739.pf
23.11.2007 16:31 19.926 RUNDLL32.EXE-2A94BB85.pf
23.11.2007 16:31 20.052 RUNDLL32.EXE-2E5AF1D7.pf
23.11.2007 16:09 62.054 TRA.EXE-06A35FF1.pf
23.11.2007 15:57 53.676 UPDATE.EXE-13D57D76.pf
23.11.2007 15:57 42.210 PREUPD.EXE-358AA1C1.pf
22.11.2007 20:08 70.680 DLLHOST.EXE-36758099.pf
22.11.2007 19:53 25.474 DOCPROC.EXE-112AF37F.pf
22.11.2007 19:53 34.184 HPQDSTCP.EXE-278AFAF4.pf
22.11.2007 19:52 125.562 HPQKYGRP.EXE-344CAAA6.pf
22.11.2007 18:57 65.834 HELPSVC.EXE-2878DDA2.pf
22.11.2007 14:17 106.600 ACRORD32.EXE-0EC716D9.pf
22.11.2007 14:17 79.620 ACRORD32INFO.EXE-30CEC19C.pf
21.11.2007 18:31 28.882 MSPAINT.EXE-11CBB631.pf
21.11.2007 17:25 19.514 DISTNOTED.EXE-39B306B0.pf
21.11.2007 17:25 62.352 APPLEMOBILEDEVICEHELPER.EXE-079D1945.pf
21.11.2007 16:10 15.122 RUNONCE.EXE-2803F297.pf
21.11.2007 16:08 17.626 RUNDLL32.EXE-47602AD0.pf
21.11.2007 16:02 13.972 QTTASK.EXE-2D7EEF34.pf
20.11.2007 20:15 18.150 RUNDLL32.EXE-4CB4B067.pf
20.11.2007 18:24 27.958 N_V14.EXE-11B09488.pf
20.11.2007 17:33 17.254 WSCNTFY.EXE-1B24F5EB.pf
20.11.2007 15:03 11.236 ICQLRUN.EXE-0B9A2BEB.pf
20.11.2007 14:47 90.672 WMPLAYER.EXE-09969333.pf
20.11.2007 13:40 30.566 RUNDLL32.EXE-24560E42.pf
20.11.2007 12:57 54.774 QUICKTIMEINSTALLER.EXE-39223FD5.pf
19.11.2007 21:00 35.134 IPOD-MOVIE-CONVERTER.EXE-21D2EE68.pf
19.11.2007 20:56 15.346 CORE10K.EXE-31928A51.pf
19.11.2007 20:54 33.652 RUNDLL32.EXE-28BC956D.pf
19.11.2007 20:53 16.664 RUNDLL32.EXE-3FB61C84.pf
19.11.2007 20:47 47.376 RUNDLL32.EXE-13404D23.pf
19.11.2007 20:35 62.502 RUNDLL32.EXE-42B177F4.pf
19.11.2007 20:35 21.544 CONTROL.EXE-013DBFB5.pf
19.11.2007 16:57 16.970 SNDVOL32.EXE-383480B7.pf
18.11.2007 18:07 32.406 SETUP_WM.EXE-19AC5A9B.pf
18.11.2007 17:19 32.750 CDEX.EXE-275590F7.pf
18.11.2007 17:12 38.460 TVBROWSER.EXE-0D650FEE.pf
18.11.2007 17:12 53.124 JAVAW.EXE-089F76D0.pf
18.11.2007 14:48 18.286 REGSVR32.EXE-25EEFE2F.pf
129 Datei(en) 7.005.850 Bytes
0 Verzeichnis(se), 16.308.920.320 Bytes frei

----- Tasks ----------------------------
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 740C-3637

Verzeichnis von C:\WINDOWS\tasks

24.11.2007 11:24 6 SA.DAT
23.11.2007 17:15 392 1-Klick-Wartung.job

----- Windows/Temp -----------------------
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 740C-3637

Verzeichnis von C:\WINDOWS\Temp

24.11.2007 11:25 256 ZLT03d72.TMP
24.11.2007 11:25 256 ZLT03d5f.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 16.308.924.416 Bytes frei

----- Temp -----------------------------
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 740C-3637

Verzeichnis von C:\DOKUME~1\Eik\LOKALE~1\Temp

24.11.2007 11:25 0 JET57FE.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 16.308.924.416 Bytes frei


das wärs dann soweit....hoffe ich habs richtig gemacht

#4 SDFix
Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread

Und ein log von Hijack This
__________
MfG Argus

#5 ok...hab ich jetz auch gemacht

von SDFix hab ich jetz folgendes


SDFix: Version 1.115

Run by Eik on 24.11.2007 at 18:38

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted



Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-24 18:47:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:da61bcf8
"s2"=dword:510fdd4b
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:b2,92,1d,5c,26,3b,ec,c2,2a,4c,09,9e,e2,f8,57,ce,3b,3b,fe,d3,f7,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:c2,c9,4e,19,67,38,a7,ff,a6,bf,e3,22,87,53,c6,bc,21,13,aa,dd,2b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d0,65,00,5c,c1,19,4f,5e,48,95,b1,a2,84,23,75,7b,06,..
"khjeh"=hex:3e,32,54,62,b6,c3,a8,97,d5,03,2f,34,c4,1a,7f,9b,92,e8,43,fd,52,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:52,6b,2b,72,2f,29,e5,e4,0f,89,60,11,bf,d7,7e,e3,dd,b6,17,d2,45,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:b2,92,1d,5c,26,3b,ec,c2,2a,4c,09,9e,e2,f8,57,ce,3b,3b,fe,d3,f7,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:c2,c9,4e,19,67,38,a7,ff,a6,bf,e3,22,87,53,c6,bc,21,13,aa,dd,2b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d0,65,00,5c,c1,19,4f,5e,48,95,b1,a2,84,23,75,7b,06,..
"khjeh"=hex:3e,32,54,62,b6,c3,a8,97,d5,03,2f,34,c4,1a,7f,9b,92,e8,43,fd,52,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:52,6b,2b,72,2f,29,e5,e4,0f,89,60,11,bf,d7,7e,e3,dd,b6,17,d2,45,..

scanning hidden registry entries ...

scanning hidden files ...

C:\Dokumente und Einstellungen\Eik\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\eik.bischof@web.de\SharingMetadata\toni_knobel@hotmail.de\DFSR\Staging\CS{EB6B8E18-D0D7-86DE-0752-4472083BBF36}\01\10-{EB6B8E18-D0D7-86DE-0752-4472083BBF36}-v1-{80F2D84E-1F43-482D-B586-AE1A77FAE7FA}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Dokumente und Einstellungen\Eik\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\eik.bischof@web.de\SharingMetadata\toni_knobel@hotmail.de\DFSR\Staging\CS{EB6B8E18-D0D7-86DE-0752-4472083BBF36}\12\12-{78676F2C-8AE4-4271-ADF7-BE58E67CD496}-v12-{78676F2C-8AE4-4271-ADF7-BE58E67CD496}-v12-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1336 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Tue 31 Dec 2002 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Fri 20 Apr 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!
_________________________________________________________________

und der log von HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:14, on 24.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\FastStone Browser\FSBrowser.exe
C:\Dokumente und Einstellungen\Eik\Desktop\Neuer Ordner\hjt.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {B90AADC2-EF02-4ADB-AC9B-CE21585711B2} - C:\WINDOWS\system32\imesiare.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://85.233.48.18/activex/AxisCamControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - http://support.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8125 bytes

...hoffe das war auch wieder richtig

#6 Entferne auf C:\SDFix\ backups -->papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - (no file)
O2 - BHO: (no name) - {B90AADC2-EF02-4ADB-AC9B-CE21585711B2} - C:\WINDOWS\system32\imesiare.dll
O3 - Toolbar: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - (no file)
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Scanne mit AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Java
Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe
__________
MfG Argus

#7 so hab ich jetzt alles gemacht...und bis jetzt siehts gut aus...
oder muss ich nochetwas machen?
wenn nicht, hätt ich da die frage obes einen zuverlässigeren schutz als die üblichen gibt?
ich hab antivir und zonealarm und dachte das reicht aber da ja jetzt doch ein trojaner drauf war, scheint es ja so, als wenn es nicht reichen würde.
gibt es da evtl. zuverlässigere programme oder tipps?

#8 Meistens ist es wie und wo man Surft wenn man sich etwas einfaengt
Mein Virenscanner ist auch nicht 100% daher benutze ich auch mal ein Onlinescanner

Onlinescanner
NOD32
F-Secure mit Rootkitscanner
Bitdefender
Housecall
CA Antivirus
__________
MfG Argus

#9 ok...dann dankeschön
eine frage hab ich dann doch noch, und zwar habe ich auf der festplatte jetzt einen ordner "qoobox" wo anscheinend der trojaner in quaratäne ist...muss ich den ordner jetzt löschen oder muss der drauf bleiben?

C:\qoobox, ist der direkte pfad und anscheinend ist der vom ComboFix angelegt worden

#10 Entferne auf C:\ Qoobox-->Papierkorb leeren

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /u OK

SDFix hat in normal Modus,Norman Malwarescanner und ein scanner von A2
Moechte man SDFix nochmal benutzen muss man erst ein Update aufuehren
__________
MfG Argus

#11 okay, hat alles geklappt und sieht sauber aus...dann dankeschön nochmals...besonders für die tolle hilfe hier!!!