Trojaner: TR/dldr.Swizzor.Gen - Wie loswerden?

#0
17.03.2008, 18:38
Member

Beiträge: 17
#1 Hallo,
Antivir hat bei mir den Trojaner gefunden: TR/dldr.Swizzor.Gen

Was muss ich tun, um ihn wieder loszuwerden? Besten Dank für Eure Hilfe!

EDIT:

Hier mein HijackThis Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:02, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\phonostar\ps_agent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 128.220.247.28:3128
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /M "Stylus D88" /EF "HKCU"
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100186486671
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 9483 bytes
Dieser Beitrag wurde am 17.03.2008 um 18:55 Uhr von Bierbaron1984 editiert.
Seitenanfang Seitenende
17.03.2008, 19:42
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein
__________
MfG Argus
Seitenanfang Seitenende
17.03.2008, 20:09
Member

Themenstarter

Beiträge: 17
#3 ComboFix 08-03-14.4 - B 2008-03-17 19:36:23.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.199 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\B\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\pcast
C:\WINDOWS\system32\Cache

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-17 18:54 . 2008-03-17 18:54 <DIR> d-------- C:\Neuer Ordner
2008-03-17 17:30 . 2008-03-17 17:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-03-17 17:30 . 2008-03-17 17:30 2,548 --a------ C:\WINDOWS\unins000.dat
2008-03-04 20:52 . 2008-03-04 20:52 <DIR> d-------- C:\Programme\sina

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-17 18:35 --------- d-----w C:\Dokumente und Einstellungen\B\Anwendungsdaten\OpenOffice.org2
2008-03-17 17:15 --------- d-----w C:\Programme\NetPumper
2008-03-17 16:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-17 16:31 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-17 16:26 --------- d-----w C:\Programme\SFT Loader
2008-03-13 10:52 --------- d-----w C:\Dokumente und Einstellungen\B\Anwendungsdaten\AdobeUM
2008-03-12 18:30 --------- d-----w C:\Programme\Soulseek
2008-02-13 19:17 --------- d-----w C:\Dokumente und Einstellungen\B\Anwendungsdaten\Hamachi
2008-02-13 13:43 --------- d-----w C:\Programme\Audacity
2008-02-12 19:20 --------- d-----w C:\Programme\DVD Shrink DE
2008-02-12 19:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-02-07 21:54 --------- d-----w C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\ICQLite
2008-02-06 14:46 --------- d-----w C:\Programme\3D MP3 Sound Recorder
2008-01-30 13:01 --------- d-----w C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\Locktime
2008-01-22 21:23 --------- d-----w C:\Dokumente und Einstellungen\B\Anwendungsdaten\Azureus
2008-01-22 00:37 --------- d-----w C:\Programme\Azureus
2004-07-03 19:09 140,800 ----a-w C:\Programme\mozilla firefox\plugins\al2np.dll
.

------- Sigcheck -------

2006-11-05 21:42 359040 c1783498edb152656303b5d5bcabd86c C:\WINDOWS\system32\dllcache\TCPIP.SYS
2006-11-05 21:42 359040 bb3249f81ac040a2505245e1c2bd82ab C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus D88 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.exe" [2005-01-27 05:00 98304]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 15:59 126976]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 15:49 98304]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2004-01-15 18:33 49152 C:\WINDOWS\system32\VTTimer.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40 155648]
"EPSON Stylus D88 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.exe" [2005-01-27 05:00 98304]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-22 19:05 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-21 20:34 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\B\Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 15:54:56 393216]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MacroMachine.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MacroMachine.lnk
backup=C:\WINDOWS\pss\MacroMachine.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
--a------ 2003-09-18 16:41 2256896 C:\WINDOWS\CMICNFG.CPL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeleteLog]
--a------ 2007-04-02 00:34 440832 C:\DOKUME~1\B\ANWEND~1\NEWAXI~1\SIXTH FLAG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Keep Surf Load Okay]
--a------ 2007-04-02 00:35 506880 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dumb lies keep surf\settings clock.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MacroMachine BootMark]
--------- 2005-08-04 12:50 65596 C:\Programme\Tronan\MacroMachine\BootMark.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]
--a------ 2004-07-03 19:06 704000 C:\Programme\NetPumper\NetPumperIEProxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-06-18 15:59 126976 C:\Programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-05-28 13:52 23458344 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"aspnet_state"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CM-SmWizard"=C:\WINDOWS\System\SmWizard.exe
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" -lang 1033
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"URLLSTCK.exe"=C:\Programme\Norton Internet Security\UrlLstCk.exe
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
"ppmate"=C:\Programme\PPMate\PPMate\ppmate.exe -autoplay

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\PPStream\\PPStream.exe"=
"C:\\Downloads\\Strems\\ppmate.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3243:TCP"= 3243:TCP:ppLive
"5905:UDP"= 5905:UDP:ppLive

R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 13:44]
R1 nltdi;nltdi;C:\WINDOWS\system32\drivers\nltdi.sys [2007-04-23 12:03]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 13:45]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-07-20 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-03-17 18:00:00 C:\WINDOWS\Tasks\ABCD3A89909EB725.job"
- c:\dokume~1\b\anwend~1\newaxi~1\WipeLocksDog.exe
"2007-12-14 19:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - B.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exel/task:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 19:41:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 19:42:00
Seitenanfang Seitenende
17.03.2008, 20:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

«
CID-Killer
http://www.virus-protect.org/artikel/tools/cid-uninstaller.html
Download CID-Killer zum Desktop
Fuehre bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“
Klicke bei “Legal notice” ok
Schliesse alle Fenster und klicke ok
Warte…..und klicke bei “Uninstall complete for all users “ok

Edit
Java
http://board.protecus.de/t32385.htm

Es werden zwei Virenscanner benutzt,eins zuviel
__________
MfG Argus
Seitenanfang Seitenende
17.03.2008, 21:08
Member

Themenstarter

Beiträge: 17
#5 "CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK" funktionert bei mir nicht.
Soll ich trotzdem mit CID-Killer weitermachen?

Es ist nur ein Virenprogramm aktiv...
Vielen Dank schonmal!

EDIT:
Hilfe, ich kann die Datei CID-Killer nicht speichern, "weil ein unbekannter Fehler aufgetreten ist". Was soll ich tun?
Es werden mir immer mehr Datein von Antivir gemeldet. Was ist eingentlich am sinnvollsten was ich mit diesen machen sollte: Löschen, in Quarantäne oder Zugriff verweigern?
Dieser Beitrag wurde am 17.03.2008 um 22:17 Uhr von Bierbaron1984 editiert.
Seitenanfang Seitenende
17.03.2008, 23:03
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Download DeljobZip zum Desktop
Doppelklick: Deljob.exe
Ein logfile wird sich oeffnen (logit.txt)
Kopiere den Inhalt des Berichts “ logit.txt in diesen Thread
__________
MfG Argus
Seitenanfang Seitenende
17.03.2008, 23:06
Member

Themenstarter

Beiträge: 17
#7 --------------------------------------------------------
Backups created in C:\deljob

ABCD3A89909EB725.job
--------------------------------------------------------
Files in Windows Tasks folder

1-Klick-Wartung.job
Norton AntiVirus - Meinen Computer prüfen - B.job
--------------------------------------------------------
Export App Data folders
--------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8C7-66F8

Verzeichnis von C:\Dokumente und Einstellungen\B\Anwendungsdaten

17.03.2008 20:14 <DIR> .
17.03.2008 20:14 <DIR> ..
10.10.2005 07:52 <DIR> BITTOR~1 .bittorrent
07.12.2005 10:03 <DIR> CANNAP~1 .CannaPower
04.02.2008 20:36 <DIR> Adobe
13.03.2008 11:52 <DIR> AdobeUM
24.03.2006 18:00 <DIR> Ahead
27.09.2005 19:32 <DIR> AOL
22.01.2008 22:23 <DIR> Azureus
10.11.2005 16:53 <DIR> Corel
12.11.2004 14:44 <DIR> CYBERL~1 CyberLink
01.12.2006 12:10 <DIR> EPSON
13.02.2008 20:17 <DIR> Hamachi
10.11.2005 16:58 <DIR> Help
04.04.2006 13:11 <DIR> ICQLite
11.12.2004 14:57 <DIR> IDENTI~1 Identities
14.03.2006 15:06 <DIR> LEADER~1 Leadertech
15.12.2007 16:34 <DIR> Locktime
31.10.2005 20:38 <DIR> MACROM~1 Macromedia
15.10.2006 18:15 <DIR> MICROS~1 Microsoft
05.10.2005 13:14 <DIR> Mozilla
02.04.2007 00:35 <DIR> NEWAXI~1 NEW AXIS SETUP
17.03.2008 21:38 <DIR> OPENOF~1.ORG OpenOffice.org2
15.10.2006 18:15 <DIR> Opera
05.12.2006 23:10 <DIR> PCTV4Me
11.07.2007 17:44 <DIR> PHONOS~1 phonostar-Player
26.10.2006 19:13 <DIR> PLTSCH~1 PLT Scheme
05.11.2006 21:42 <DIR> PPLive
18.11.2006 22:39 <DIR> PPMate
11.04.2007 19:04 <DIR> ppStream
29.11.2006 21:59 <DIR> RapidGet
22.11.2005 19:08 <DIR> Real
17.07.2007 11:19 <DIR> Skype
14.03.2006 15:06 <DIR> Sonic
04.12.2006 23:32 <DIR> SopCast
10.10.2005 14:40 <DIR> Sun
23.09.2005 10:01 <DIR> Symantec
27.09.2005 19:21 <DIR> TUNEUP~1 TuneUp Software
27.11.2007 20:55 <DIR> TVUNET~1 TVU networks
11.04.2007 21:41 <DIR> vlc
12.11.2004 14:21 <DIR> YOU'VE~1 You've Got Pictures Screensaver
0 Datei(en) 0 Bytes
41 Verzeichnis(se), 10.824.257.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8C7-66F8

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

15.12.2007 16:30 <DIR> .
15.12.2007 16:30 <DIR> ..
11.12.2004 15:02 <DIR> Adobe
27.09.2005 19:32 <DIR> AOL
18.10.2007 18:44 <DIR> Avira
12.11.2004 14:14 <DIR> CYBERL~1 CyberLink
02.04.2007 00:35 <DIR> DUMBLI~1 dumb lies keep surf
12.02.2008 20:20 <DIR> DVDSHR~1 DVD Shrink
14.03.2006 13:21 <DIR> INSTAL~1 InstallShield
15.12.2007 16:30 <DIR> Locktime
31.10.2005 23:30 <DIR> MICROS~1 Microsoft
11.04.2007 19:05 <DIR> PPStream
01.11.2005 00:07 <DIR> QUICKT~1 QuickTime
11.12.2004 15:04 <DIR> SBSI
31.05.2007 15:42 <DIR> Skype
17.03.2008 17:33 <DIR> SPYBOT~1 Spybot - Search & Destroy
12.11.2004 14:37 <DIR> Symantec
27.09.2005 19:21 <DIR> TUNEUP~1 TuneUp Software
09.11.2006 18:59 <DIR> UDL
12.11.2004 14:21 <DIR> VIEWPO~1 Viewpoint
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 10.824.253.440 Bytes frei
--------------------------------------------------------
All User Accounts
--------------------------------------------------------
All Users
B
T***
--------------------------------------------------------
Seitenanfang Seitenende
17.03.2008, 23:17
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Entferne
C:\deljob
C:\Dokumente und Einstellungen\B\Anwendungsdaten\NEW AXIS SETUP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dumb lies keep surf
__________
MfG Argus
Seitenanfang Seitenende
17.03.2008, 23:27
Member

Themenstarter

Beiträge: 17
#9 Ok, hab ich. Sonst noch weitere schritte?
Könnte es auch an Net Pumper liegen?
Seitenanfang Seitenende
17.03.2008, 23:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Meistens kommt so eine Infektion durch MSN+ mit Sponsor zu installieren
Ueber Netpumper lese ich nur slechtes Pup-Ups und so
Info: http://virus-protect.org/artikel/spyware/uninstall.html
__________
MfG Argus
Seitenanfang Seitenende
17.03.2008, 23:45
Member

Themenstarter

Beiträge: 17
#11 ok, danke bis hierhin. Hoffe mal dass es wech is.
Seitenanfang Seitenende
18.03.2008, 00:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Folgendes noch machen
HostsXpert
Download HostsXpert 4

Mach mit
eine verknuepfung zum Desktop

Klicke nur! “Restore MSHosts file”
__________
MfG Argus
Seitenanfang Seitenende
18.03.2008, 09:31
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 Bierbaron1984

zusätzlich:

1.
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\Dokumente und Einstellungen\B\Anwendungsdaten\NEW AXIS SETUP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dumb lies keep surf
C:\Programme\NetPumper
C:\WINDOWS\Tasks\ABCD3A89909EB725.job
Klicke auf den Roten MoveIt!
poste hier das Löschlog

2.
scanne mit Counterspy, lasse alles,was gefunden wird entfernen + poste den report
http://www.virus-protect.org/counterspy1.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
18.03.2008, 20:26
Member

Themenstarter

Beiträge: 17
#14

Zitat

Arnold postete
Folgendes noch machen
HostsXpert
Download HostsXpert 4

Mach mit
eine verknuepfung zum Desktop

Klicke nur! “Restore MSHosts file”
Kann "Restore..." nicht ausführen: ERROR: Cannot create file...
Irgendne Idee?


LöschLog von OTmoveIt:

File/Folder C:\Dokumente und Einstellungen\B\Anwendungsdaten\NEW AXIS SETUP not found.
File/Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dumb lies keep surf not found.
File/Folder C:\Programme\NetPumper not found.
File/Folder C:\WINDOWS\Tasks\ABCD3A89909EB725.job not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03182008_203604
Seitenanfang Seitenende
18.03.2008, 23:44
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 Hallo scanne mit sdfix (muss im abgesicherten Modus sein)
http://www.virus-protect.org/artikel/tools/sdfix.html
poste dann den report, so sehen wir, ob die Hosts bereinigt wurde
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende