Trojaner im Tray

#1 Hi,
ich habe n trojaner im system tray:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08:06, on 1.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SecCenter\scprot4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [xqjyjalu] rundll32.exe "C:\Programme\slapktkb\qfojijyh.dll",Init
O4 - HKLM\..\Run: [nobwhqtk] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nobwhqtk.dll"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvjap.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: E404Helper - {9432bffc-3b31-45da-8489-2ede6c745d5a} - e404d.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe

--
End of file - 5195 bytes




hilfe wäre cool

ist mehr nötig als die hi jack log file oder reicht das zum auswerten?
Liebe grüße_ Baris

#2 Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus

#3 ComboFix 07-12-02.5 - m.Rah 2007-12-02 3:38:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1030 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\m.Rah\Eigene Dateien\ICQ Lite\147539943\puH 3 KeKse_302039418\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\SecCenter
C:\Programme\SecCenter\scprot4.exe.bak
C:\Programme\smss.exe
C:\Programme\ucleaner_setup.exe
C:\WINDOWS\hdtip.dll
C:\WINDOWS\system32\drvjapr.dll
C:\WINDOWS\system32\skjlrsjp
C:\WINDOWS\system32\skjlrsjp\bg1.gif
C:\WINDOWS\system32\skjlrsjp\bgtop.gif
C:\WINDOWS\system32\skjlrsjp\bottom1.gif
C:\WINDOWS\system32\skjlrsjp\essentials.gif
C:\WINDOWS\system32\skjlrsjp\icon1.ico
C:\WINDOWS\system32\skjlrsjp\install1.gif
C:\WINDOWS\system32\skjlrsjp\left1.gif
C:\WINDOWS\system32\skjlrsjp\li.gif
C:\WINDOWS\system32\skjlrsjp\logo.gif
C:\WINDOWS\system32\skjlrsjp\main.htm
C:\WINDOWS\system32\skjlrsjp\mainframe.htm
C:\WINDOWS\system32\skjlrsjp\reinstall1.gif
C:\WINDOWS\system32\skjlrsjp\right1.gif
C:\WINDOWS\system32\skjlrsjp\s1.htm
C:\WINDOWS\system32\skjlrsjp\s2.htm
C:\WINDOWS\system32\skjlrsjp\s3.htm
C:\WINDOWS\system32\skjlrsjp\skjlrsjp1.exe
C:\WINDOWS\system32\skjlrsjp\skjlrsjp2.exe
C:\WINDOWS\system32\skjlrsjp\skjlrsjp3.exe
C:\WINDOWS\system32\skjlrsjp\SMTop1.gif
C:\WINDOWS\system32\skjlrsjp\SMTop2.gif
C:\WINDOWS\system32\skjlrsjp\SMTop3.gif
C:\WINDOWS\system32\skjlrsjp\SMTop4.gif
C:\WINDOWS\system32\skjlrsjp\soft1_off.gif
C:\WINDOWS\system32\skjlrsjp\soft1_off_ext.gif
C:\WINDOWS\system32\skjlrsjp\soft1_on.gif
C:\WINDOWS\system32\skjlrsjp\soft1_on_ext.gif
C:\WINDOWS\system32\skjlrsjp\soft2_off.gif
C:\WINDOWS\system32\skjlrsjp\soft2_off_ext.gif
C:\WINDOWS\system32\skjlrsjp\soft2_on.gif
C:\WINDOWS\system32\skjlrsjp\soft2_on_ext.gif
C:\WINDOWS\system32\skjlrsjp\soft3_off.gif
C:\WINDOWS\system32\skjlrsjp\soft3_off_ext.gif
C:\WINDOWS\system32\skjlrsjp\soft3_on.gif
C:\WINDOWS\system32\skjlrsjp\soft3_on_ext.gif
C:\WINDOWS\system32\skjlrsjp\softbottom_off.gif
C:\WINDOWS\system32\skjlrsjp\softbottom_on.gif
C:\WINDOWS\system32\skjlrsjp\softleft_off.gif
C:\WINDOWS\system32\skjlrsjp\softleft_on.gif
C:\WINDOWS\system32\skjlrsjp\top1.gif
C:\WINDOWS\system32\skjlrsjp\top2.gif
C:\WINDOWS\system32\skjlrsjp\turnoff1.gif
C:\WINDOWS\system32\skjlrsjp\turnon1.gif
C:\WINDOWS\system32\winzlo32.dll
C:\WINDOWS\werbetorq.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-02 bis 2007-12-02 ))))))))))))))))))))))))))))))
.

2007-12-02 03:33 . 2007-12-02 03:33 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-01 20:57 . 2007-12-01 20:57 <DIR> d-------- C:\Programme\Trend Micro
2007-12-01 20:51 . 2007-12-01 20:51 <DIR> d-------- C:\Programme\Valve
2007-12-01 20:40 . 2007-12-01 20:40 <DIR> d-------- C:\Programme\Games
2007-12-01 17:49 . 2007-12-01 17:49 34,304 --a------ C:\WINDOWS\system32\gebbcaa.dll
2007-12-01 17:24 . 2007-12-01 17:24 324,192 --a------ C:\WINDOWS\system32\geebc.dll
2007-12-01 17:24 . 2007-12-02 03:43 57,154 --ahs---- C:\WINDOWS\system32\cbeeg.ini2
2007-12-01 17:24 . 2007-12-02 03:45 57,154 --ahs---- C:\WINDOWS\system32\cbeeg.ini
2007-12-01 17:16 . 2007-12-01 17:16 <DIR> d-------- C:\Programme\Gcolixlu
2007-12-01 15:47 . 2007-12-01 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2007-12-01 15:47 . 2007-12-01 15:47 47,312 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2007-12-01 15:47 . 2007-12-01 15:47 38,096 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2007-12-01 15:47 . 2007-12-01 15:47 31,568 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2007-12-01 15:46 . 2007-12-01 15:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2007-12-01 15:46 . 2007-12-01 15:46 <DIR> d-------- C:\Programme\G DATA AntiVirenKit
2007-12-01 15:15 . 2007-12-01 15:15 41,472 --a------ C:\WINDOWS\system32\e404d.dll
2007-12-01 15:14 . 2007-12-01 15:14 <DIR> d-------- C:\Programme\slapktkb
2007-12-01 15:14 . 2007-12-01 16:04 <DIR> d-------- C:\Programme\Evrtuube
2007-12-01 15:14 . 2007-12-01 15:14 1,148,902 --a------ C:\Install
2007-12-01 15:14 . 2007-12-01 15:14 34,304 --a------ C:\WINDOWS\system32\ddcccde.dll
2007-12-01 15:12 . 2007-12-01 15:12 39,936 --a------ C:\WINDOWS\system32\yaywutt.dll
2007-12-01 15:12 . 2007-12-01 15:12 39,936 --a------ C:\WINDOWS\system32\awtqqno.dll
2007-12-01 14:37 . 2007-12-01 14:46 69 --a------ C:\WINDOWS\NeroDigital.ini
2007-12-01 13:21 . 2007-12-01 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\GetRightToGo
2007-12-01 12:20 . 2007-12-01 12:20 <DIR> d-------- C:\Games
2007-12-01 05:16 . 2007-12-01 05:16 <DIR> d-------- C:\Programme\uTorrent
2007-12-01 05:15 . 2007-12-01 13:41 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\uTorrent
2007-12-01 03:33 . 2007-12-01 03:33 <DIR> d-------- C:\Programme\D-Tools
2007-12-01 03:33 . 2004-08-22 16:31 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys
2007-12-01 03:33 . 2004-08-22 16:31 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys
2007-12-01 03:32 . 2007-12-01 03:32 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-11-30 15:53 . 2007-12-01 04:56 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-11-30 15:22 . 2007-11-30 11:54 271,360 --a------ C:\WINDOWS\pmkret.dll
2007-11-30 15:22 . 2007-11-30 11:54 101,710 --a------ C:\WINDOWS\monhop.exe
2007-11-30 15:19 . 2007-11-30 15:19 <DIR> d-------- C:\Programme\RichVideoCodec
2007-11-30 15:10 . 2007-11-30 15:14 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-11-30 15:08 . 2007-11-30 15:08 <DIR> d-------- C:\Programme\directx
2007-11-30 15:08 . 2007-11-30 15:08 <DIR> d-------- C:\Programme\Creative
2007-11-30 15:08 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-11-30 15:08 . 2002-06-06 14:38 139,264 --a------ C:\WINDOWS\system32\eax.dll
2007-11-30 14:47 . 2004-01-26 16:15 233,472 -ra------ C:\WINDOWS\system32\MafiaSetup.exe
2007-11-30 14:33 . 2007-11-30 14:34 24 ---hs---- C:\WINDOWS\SCE3DE867.tmp
2007-11-30 14:32 . 2007-11-30 14:32 <DIR> d-------- C:\Programme\SlySoft
2007-11-30 14:26 . 2007-11-30 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\Ahead
2007-11-30 14:25 . 2007-11-30 14:25 <DIR> d-------- C:\Programme\Nero
2007-11-30 14:25 . 2007-11-30 14:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-11-30 07:22 . 2007-11-30 07:22 <DIR> d-------- C:\WINDOWS\OPTIONS
2007-11-30 07:22 . 2007-11-30 07:22 <DIR> d-------- C:\Programme\Realtek
2007-11-30 07:22 . 2007-11-30 07:22 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\InstallShield
2007-11-30 07:22 . 2007-07-12 11:49 96,384 --a------ C:\WINDOWS\system32\drivers\Rtnicxp.sys
2007-11-30 07:19 . 2007-01-19 15:04 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-11-30 07:17 . 2007-11-30 07:17 315,392 --a------ C:\WINDOWS\HideWin.exe
2007-11-30 06:58 . 2007-11-30 06:58 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\ATI
2007-11-30 06:55 . 2007-11-30 06:56 <DIR> d-------- C:\Programme\ATI Technologies
2007-11-30 06:55 . 2007-03-22 21:05 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-11-30 06:44 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-11-30 06:44 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-11-30 06:44 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-11-30 01:19 . 2007-12-01 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-30 01:18 . 2007-12-02 01:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-11-30 00:45 . 2007-11-30 00:45 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\vlc
2007-11-30 00:16 . 2007-11-30 00:16 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\Steinberg
2007-11-30 00:14 . 2007-11-30 00:14 <DIR> d-------- C:\Programme\Steinberg
2007-11-30 00:12 . 2007-11-30 00:12 <DIR> d-------- C:\Programme\Syncrosoft
2007-11-30 00:12 . 2005-10-17 09:35 704,512 --a------ C:\WINDOWS\system32\SYNSOACC.dll
2007-11-30 00:12 . 2004-05-10 15:58 147,456 --a------ C:\WINDOWS\system32\SynsoLChk.dll
2007-11-30 00:12 . 2003-07-31 20:28 147,425 --a------ C:\WINDOWS\system32\SYNSOACC-Aide.chm
2007-11-30 00:12 . 2003-05-26 15:29 120,468 --a------ C:\WINDOWS\system32\SYNSOACC-Hilfe.chm
2007-11-30 00:12 . 2003-05-26 15:29 114,279 --a------ C:\WINDOWS\system32\SYNSOACC-Help.chm
2007-11-30 00:12 . 2002-11-25 08:36 45,056 --a------ C:\WINDOWS\system32\Synsopos.exe
2007-11-30 00:12 . 2005-05-09 20:08 33,792 --a------ C:\WINDOWS\system32\drivers\cledx.sys
2007-11-30 00:12 . 2002-11-25 05:46 16,896 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys
2007-11-30 00:04 . 2007-11-30 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2007-11-29 23:54 . 2007-11-29 23:54 <DIR> d-------- C:\Programme\Messenger Plus! Live
2007-11-29 23:48 . 2007-11-29 23:48 <DIR> d---s---- C:\Dokumente und Einstellungen\m.Rah\UserData
2007-11-29 23:43 . 2007-12-01 15:14 <DIR> d-------- C:\Programme\ICQToolbar
2007-11-29 23:43 . 2007-12-01 15:42 <DIR> d-------- C:\Program Files
2007-11-29 23:42 . 2007-11-29 23:42 <DIR> d-------- C:\Programme\VideoLAN
2007-11-29 23:42 . 2007-11-29 23:45 <DIR> d-------- C:\Programme\ICQLite
2007-11-29 23:42 . 2007-11-29 23:44 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\ICQLite
2007-11-29 23:40 . 2004-08-04 00:58 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2007-11-29 23:40 . 2004-08-04 00:58 130,048 --a--c--- C:\WINDOWS\system32\dllcache\ksproxy.ax
2007-11-29 23:40 . 2004-08-04 00:57 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2007-11-29 23:40 . 2004-08-04 00:57 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2007-11-29 23:37 . 2007-12-02 03:10 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-11-29 23:37 . 2004-09-09 16:45 1,122,304 --a------ C:\WINDOWS\system32\deltapnl.exe
2007-11-29 23:37 . 2004-09-10 11:28 291,456 --a------ C:\WINDOWS\system32\drivers\delta.sys
2007-11-29 23:37 . 2004-08-26 22:43 56,320 --a------ C:\WINDOWS\system32\delttray.exe
2007-11-29 23:37 . 2004-09-09 16:45 44,032 --a------ C:\WINDOWS\system32\deltapnl.dll
2007-11-29 23:37 . 2004-08-13 11:37 19,968 --a------ C:\WINDOWS\system32\deltasio.dll
2007-11-29 23:37 . 2004-08-13 12:06 5,120 --a------ C:\WINDOWS\system32\DeltaCPL.cpl
2007-11-29 23:36 . 2007-11-29 23:37 <DIR> d-------- C:\Programme\M-Audio Delta
2007-11-29 23:36 . 2007-11-30 15:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-29 23:35 . 2007-11-29 23:35 1,140 --a------ C:\WINDOWS\mozver.dat
2007-11-29 23:34 . 2007-11-29 23:34 0 --a------ C:\WINDOWS\nsreg.dat
2007-11-29 23:29 . 2007-11-29 23:29 <DIR> d-------- C:\Programme\Windows Live Toolbar
2007-11-29 23:29 . 2007-11-29 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\m.Rah\Contacts
2007-11-29 23:28 . 2007-11-29 23:28 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-11-29 23:28 . 2007-11-29 23:28 <DIR> d-------- C:\WINDOWS\Provisioning
2007-11-29 23:28 . 2007-11-29 23:33 <DIR> d-------- C:\WINDOWS\PeerNet

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-29 21:51 --------- d-----w C:\Dokumente und Einstellungen\m.Rah\Anwendungsdaten\MSN6
2007-11-29 21:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2007-11-29 20:36 --------- d-----w C:\Programme\microsoft frontpage
2007-11-29 20:35 --------- d-----w C:\Programme\Online-Dienste
2007-11-29 20:34 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-29 20:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-29 20:28 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-11-29 20:27 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{013B39E9-2DBE-4674-9B13-035363F81332}]
2007-12-01 17:24 324192 --a------ C:\WINDOWS\system32\geebc.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62780D18-D103-03D3-323A-01F43008B839}]
C:\Programme\Evrtuube\ytyvjiue.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{73F24B2F-4F7A-4BC2-A685-0333C49D1042}]
2007-12-01 15:12 39936 --a------ C:\WINDOWS\system32\awtqqno.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" []
"Steam"="C:\Programme\Valve\Steam\\Steam.exe" [2007-12-01 20:59]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DeltTray"="DeltTray.exe" [2004-08-26 22:43 C:\WINDOWS\system32\delttray.exe]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 00:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-01-18 16:52]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{73F24B2F-4F7A-4BC2-A685-0333C49D1042}"= C:\WINDOWS\system32\awtqqno.dll [2007-12-01 15:12 39936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"E404Helper"= {9432bffc-3b31-45da-8489-2ede6c745d5a} - e404d.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqqno]
awtqqno.dll 2007-12-01 15:12 39936 C:\WINDOWS\system32\awtqqno.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\geebc.dll

R2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"
R2 AVKService;AVK Service;C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys
R3 GDMnIcpt;GDMnIcpt;\??\C:\WINDOWS\system32\drivers\MiniIcpt.sys
R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys
S3 jnv4_mib;jnv4_mib;\??\C:\DOKUME~1\m.Rah\LOKALE~1\Temp\jnv4_mib.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-12-02 01:50:04 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-02 03:44:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-02 3:46:25 - machine was rebooted
.
--- E O F ---



------------------------------------------------------------------------------------------------------------------

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 44CC-B3A1

Verzeichnis von C:\WINDOWS\system32

02.12.2007 03:47 57.154 cbeeg.ini
02.12.2007 03:46 57.154 cbeeg.ini2
01.12.2007 17:49 34.304 gebbcaa.dll
01.12.2007 17:24 324.192 geebc.dll
01.12.2007 15:15 41.472 e404d.dll
01.12.2007 15:14 34.304 ddcccde.dll
01.12.2007 15:12 39.936 yaywutt.dll
01.12.2007 15:12 39.936 awtqqno.dll
01.12.2007 05:31 70.778 perfc007.dat
01.12.2007 05:31 58.732 perfc009.dat
01.12.2007 05:31 392.432 perfh009.dat
01.12.2007 05:31 405.448 perfh007.dat
01.12.2007 05:31 899.764 PerfStringBackup.INI
30.11.2007 15:14 43.520 CmdLineExt03.dll
30.11.2007 06:57 92.680 FNTCACHE.DAT
30.11.2007 06:47 129.082 TZLog.log
30.11.2007 00:01 16.832 amcompat.tlb
30.11.2007 00:01 23.392 nscompat.tlb
29.11.2007 22:48 2.206 wpa.dbl
29.11.2007 22:44 587 $winnt$.inf
29.11.2007 22:41 488 WindowsLogon.manifest
29.11.2007 22:41 488 logonui.exe.manifest
29.11.2007 22:41 749 wuaucpl.cpl.manifest
29.11.2007 22:41 749 sapi.cpl.manifest
29.11.2007 22:41 749 ncpa.cpl.manifest
29.11.2007 22:41 749 cdplayer.exe.manifest
29.11.2007 22:41 749 nwc.cpl.manifest
29.11.2007 22:40 22.880 emptyregdb.dat
29.11.2007 22:21 25.065 wmpscheme.xml
29.11.2007 21:36 2.951 CONFIG.NT
29.11.2007 21:31 0 h323log.txt
02.11.2007 00:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
25.10.2007 17:55 8.495.616 shell32.dll
18.10.2007 11:31 51.224 sirenacm.dll
22.08.2007 14:13 664.576 wininet.dll
22.08.2007 14:13 1.494.528 shdocvw.dll
22.08.2007 14:13 617.472 urlmon.dll
22.08.2007 14:13 474.624 shlwapi.dll
22.08.2007 14:13 449.024 mshtmled.dll
22.08.2007 14:13 39.424 pngfilt.dll
22.08.2007 14:13 3.079.168 mshtml.dll
22.08.2007 14:13 532.480 mstime.dll
22.08.2007 14:13 146.432 msrating.dll
22.08.2007 14:13 251.392 iepeers.dll
22.08.2007 14:13 96.768 inseng.dll
22.08.2007 14:13 205.312 dxtrans.dll
22.08.2007 14:13 55.808 extmgr.dll
22.08.2007 14:13 16.384 jsproxy.dll
22.08.2007 14:13 1.056.256 danim.dll
22.08.2007 14:13 357.888 dxtmsft.dll
22.08.2007 14:13 1.022.976 browseui.dll
22.08.2007 14:13 152.064 cdfview.dll
21.08.2007 07:16 683.520 inetcomm.dll
10.08.2007 20:56 93.128 ElbyCDIO.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:19 271.224 mucltui.dll
30.07.2007 19:19 207.736 muweb.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 30.072 mucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
18.07.2007 13:42 60.416 tzchange.exe
09.07.2007 14:11 584.192 rpcrt4.dll




Danke für die Hilfe.

LG: Baris

#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht

zusammen mit ein log von HijackThis
__________
MfG Argus

#5 ----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\monhop.exe
C:\WINDOWS\pmkret.dll
C:\WINDOWS\system32\e404d.dll

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------





--------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:58, on 2.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe

--
End of file - 4399 bytes






Da sind se.

LG: Baris

#6 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\cbeeg.ini
C:\WINDOWS\system32\cbeeg.ini2
C:\WINDOWS\system32\gebbcaa.dll
C:\WINDOWS\system32\geebc.dll
C:\WINDOWS\system32\ddcccde.dll
C:\WINDOWS\system32\yaywutt.dll
C:\WINDOWS\system32\awtqqno.dll

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus