spywarefighter, trojaner, was kann ich noch tun?

#1 hi, also ich habs geschafft mir über ein scheinbar seriöses tool namens "spywarefighter" übelste malware einzufangen. (wohlgemerkt: habs über chip.de gezogen)

gleich während der installation fing das ding an probleme zu machen und die installation ließ sich auch nicht mehr abbrechen. danach endloses neustarten.

meine aktionen bisher:
- über hijackthis die betreffenden einträge gekillt ->
- abgesicherter modus ->über löschtool (sicheres löschen) den windows temp-ordner gelöscht
- das verzeichnis und alle noch auffindbaren dateien von spywarefighter gelöscht, - antivir drüberlaufen lassen
- adaware 2007 drüberlaufen lassen
- tuneup 2008 drüberlaufen lassen

ich kann den rechner zwar wieder normal starten, aber ich bin mir irgendwie immernoch nicht sicher, ob das teil jetzt komplett weg ist. hatte vorher ein verzeichnis vergessen und hab schon im normalen modus gestartet und bei einem ganz normalen rechtsklick auf das windows-temp-verzeichnis startete automatisch eine installation von spywarefighter. das lankabel war draußen, der spywarefighter-ordner längst gelöscht.

kann vl einer von euch nochmal über mein logfile drüberschauen und mir sagen, ob jetzt soweit alles wieder ok ist? wäre super. vielen dank im voraus!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:28, on 1/5/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
D:\DAEMON Tools\daemon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
D:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2EBAE5B-820A-4716-ACFA-E41E8FDA908A}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4316 bytes

#2 fry82

arbeite bitte combofix ab und poste hier das Log
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 also es stimmt ganz sicher noch was nicht. sobald ich rechtsklick auf IRGENDWAS mache startet er die installation von spywarefighter. das gleiche bei "entf" oder shift + entf. hier das logfile von combofix. pleeease help me out. ich brauche den rechner wirklich zum arbeiten.

ComboFix 08-01-04.1 - mrk 2008-01-05 14:54:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.479 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\mrk\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden
C:\WINDOWS\system32\aspi32.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-05 bis 2008-01-05 ))))))))))))))))))))))))))))))
.

2008-01-05 14:53 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-05 13:32 . 2008-01-05 13:32 <DIR> d-------- C:\Programme\Avira
2008-01-05 13:32 . 2008-01-05 13:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-05 02:34 . 2008-01-05 02:34 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-01-05 02:34 . 2008-01-05 02:34 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-01-05 02:34 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-01-05 01:39 . 2008-01-05 01:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-12-20 20:16 . 2008-01-05 02:25 <DIR> d-------- C:\Programme\Microsoft IntelliPoint
2007-12-20 20:15 . 2007-12-20 20:16 <DIR> d-------- C:\Programme\Microsoft IntelliType Pro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 13:56 11,581,472 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-05 12:13 71,396 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-05 12:12 --------- d-----w C:\Programme\Eraser
2008-01-05 01:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-05 01:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-01-04 23:49 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\Skype
2007-12-21 22:59 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\dvdcss
2007-12-20 19:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-12-18 23:08 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\Azureus
2007-11-26 23:04 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-11-26 23:04 --------- d-----w C:\Programme\Skype
2007-11-26 23:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-11-26 23:04 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\skypePM
2007-11-26 23:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-11-22 20:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-22 20:25 --------- d-----w C:\Programme\Cyberlink
2007-11-16 16:33 20,330,031 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_11_16_17_08_53_full.dmp.zip
2007-11-13 14:24 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-13 14:24 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-11-13 14:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-11-13 10:57 --------- d-----w C:\Programme\Online-Dienste
2007-11-07 11:06 --------- d-----w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\OpenOffice.org2
2007-11-06 17:16 --------- d-----w C:\Programme\OpenOffice.org 2.3
2007-08-27 09:19 4,196,265 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-07-02 17:30 42,720 ----a-w C:\Dokumente und Einstellungen\mrk\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-18 19:52 18,275,426 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_04_18_21_51_04_full.dmp.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-12-26 01:23 643072]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe" [2004-03-03 14:30 131072]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"DAEMON Tools"="D:\DAEMON Tools\daemon.exe" [2006-09-14 21:09 157592]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 20:05 311296]
"LanguageShortcut"="D:\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 22:17 52256]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2005-06-10 10:24 196608]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 10:21 217088]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=C:\WINDOWS\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^mrk^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\mrk\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^mrk^Startmenü^Programme^Autostart^hamachi.lnk]
path=C:\Dokumente und Einstellungen\mrk\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^mrk^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\mrk\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
D:\FlashGet\flashget.exe /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
Logi_MwX.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechGalleryRepair]
2002-12-10 18:32 155648 --a------ C:\Programme\Logitech\ImageStudio\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechImageStudioTray]
2002-12-10 18:31 61440 --a------ C:\Programme\Logitech\ImageStudio\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\MsnMsgr.Exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
D:\quicktime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
D:\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-10-18 11:42 32881 --a------ C:\Programme\Java\j2re1.4.2_13\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead Quick-Drop]
E:\uleadmovie\Ulead DVD MovieFactory 5\Quick-Drop.exe WINDOWCALL

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2002-12-31 13:00]
S2 irhost;Warndienst ;C:\WINDOWS\system32\irhost.exe []
S3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys [2002-06-10 14:21]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys []
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys []
S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys [2002-06-10 14:24]
S3 SpyFighter;SpyFighter Guard Device;D:\SPYWAREfighter\spyfighter.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-05 02:34]
S4 SPYWAREfighterRP;SPYWAREfighterRP;"D:\SPYWAREfighter\spfprc.exe" []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\Autorun.exe
\Shell\dinstall\command - H:\Directx\dxsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59e148f0-7115-11db-8e9c-806d6172696f}]
\Shell\AutoRun\command - G:\setup.exe

*Newly Created Service* - ANTIVIRSCHEDULER
*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - AVGIO
*Newly Created Service* - AVGNTFLT
*Newly Created Service* - AVIPBB
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 01:34:54 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2007-12-19 13:04:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-05 14:56:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-05 14:57:15
ComboFix-quarantined-files.txt 2008-01-05 13:57:12

#4 arbeite datfindbat ab - poste von jedem log nur die Daten zweier monate, das reicht aus...
http://www.virus-protect.org/datfindbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 hallo, danke für deine antwort / mühen. hab mein system jetzt komplett neu aufgesetzt. hab ja partitionen, von daher ist es nicht so schlimm. im abgesicherten modus konnte ich alle wichtigen daten retten. echt mal, so ne kacke. könnt mir in den arsch beissen, dass ich auf diesen mist reingefallen bin.