Home » Viren, Trojaner & Malware Forum » habe 2 dll dateien wo ich vermute das es trojana sind » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

habe 2 dll dateien wo ich vermute das es trojana sind

05.06.2008, 19:15

heartreaver

...neu hier

Beiträge: 6

#1 hallo erstmal, ich hab seid kurzem ein problem mit trojaner, habe auch schon diverse sachen ausbrobiert wie z.b spyware doctor und antivir. Durch winpatrol wird mir ca alle 10min angezeigt das mlJYromj.dll und urqolbY.dll neu installiert wurden und ob ich diese erlauben will. Dann bin ich in den system32 ordner gegangen und hab versuch die beiden dateien zu löschen, was nicht funktioniert da angeblich ein anderer benutzer darauf zugreift. Dann hab ich es im abgesicherten modus versucht wodurch trotzdem die selbe fehlermeldung aufgetaucht ist.Daraufhin probierte ich es mit dem unlocker assistent, wodurch ich 2 tasks gefunden hatte die nicht im normalen task menü auftauchen und in denen urqolbY.dll drinsteht.Wenn ich diese lösche kommt eine weiter fehler meldung und nach 1min startet der pc neu. Als nächstes versuchte ich es mit der Kill box was auch zu keinem erfolg führte, da die dateien immer noch auf dem rechner waren. Als letztes hab ich HijackThis installiert und hab keine ahnung was das hier genau zu bedeuten hat ich hoffe ihr könnt mir weiter helfen und freue mich über eine baldige Antwort.

hier die Text datei vom HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:48:37, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe
C:\WINDOWS\system32\ps2.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\MMKEYB.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\TrayMon.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\osd.exe
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [FLMOFFICEMOUSE] C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

05.06.2008, 21:28

Argus

Ehrenmitglied

Beiträge: 6028

#2 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !

Entferne Hijack This 1.99.1 und……..

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

05.06.2008, 22:52

heartreaver

...neu hier

Themenstarter

Beiträge: 6

#3 so habe MBAM installiert und 2x scans durchgeführt, hier der log vom komplett scan:
Malwarebytes' Anti-Malware 1.14
Datenbank Version: 829

22:29:06 05.06.2008
mbam-log-6-5-2008 (22-29-06).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 60055
Scan Dauer: 38 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7b7f5aca-0a87-4214-b867-7d9bc8f7ebf5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljyromj (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\!KillBox\mlJYromj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\!KillBox\mlJYromj.dll( 2) (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\!KillBox\mlJYromj.dll( 3) (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\!KillBox\mlJYromj.dll( 4) (Trojan.Vundo) -> Quarantined and deleted successfully.

hier beim 2ten scan wo ich alleine nur system32 gescannt habe:

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\arksetpo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\fchdebnt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\gpdyxrir.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\jacosvgy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\xigebvet.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\xxyyxyAp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

und hier nun das vom hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:48:19, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [FLMOFFICEMOUSE] C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1MDxVaGrRJ] C:\WINDOWS\system32\winver.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7816 bytes

06.06.2008, 00:20

Argus

Ehrenmitglied

Beiträge: 6028

#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !
__________
MfG Argus

06.06.2008, 07:18

heartreaver

...neu hier

Themenstarter

Beiträge: 6

#5 so hab das gemacht, hier ist der log:

ComboFix 08-06-05.3 - HP_Besitzer 2008-06-06 6:44:16.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.98 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\G3YWNY89\www.broadcaster.com
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem\audio.dll
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem\audio.dll
C:\smp.bat
C:\WINDOWS\BM8fb0b2a8.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\a.bat
C:\WINDOWS\system32\bbnankqc.dll
C:\WINDOWS\system32\cwegbmoy.dll
C:\WINDOWS\system32\fkvefgnl.dll
C:\WINDOWS\system32\jftgxqkp.dll
C:\WINDOWS\system32\lngfevkf.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mjdaehwm.ini
C:\WINDOWS\system32\opteskra.ini
C:\WINDOWS\system32\oxvwvjpy.ini
C:\WINDOWS\system32\rfvscbqk.ini
C:\WINDOWS\system32\rirxydpg.ini
C:\WINDOWS\system32\rvtjatbl.ini
C:\WINDOWS\system32\stpthwkp.dll
C:\WINDOWS\system32\tevbegix.ini
C:\WINDOWS\system32\tnbedhcf.ini
C:\WINDOWS\system32\tqxujbed.dll
C:\WINDOWS\system32\urqolJbY.dll
C:\WINDOWS\system32\YbJloqru.ini
C:\WINDOWS\system32\YbJloqru.ini2
C:\WINDOWS\system32\ygvsocaj.ini
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-06-05 22:47 . 2008-06-05 22:47 <DIR> d-------- C:\Programme\Trend Micro
2008-06-05 21:47 . 2008-06-05 21:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-05 21:47 . 2008-06-05 21:47 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Malwarebytes
2008-06-05 21:47 . 2008-06-05 21:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-05 21:47 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-05 21:47 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-05 18:28 . 2008-06-05 18:29 <DIR> d-------- C:\Programme\CleanUp!
2008-06-05 17:38 . 2008-06-05 22:29 <DIR> d-------- C:\!KillBox
2008-06-05 16:46 . 2008-06-05 16:48 <DIR> d-------- C:\Programme\Unlocker
2008-06-05 16:33 . 2008-06-05 16:34 <DIR> d-------- C:\WINDOWS\system32\Neuer Ordner
2008-06-05 16:30 . 2008-06-05 16:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online
2008-06-05 16:26 . 2005-01-02 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-06-05 16:26 . 2006-09-15 05:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-05 16:26 . 2006-09-15 05:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-05 16:26 . 2004-11-23 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-05 16:26 . 2004-11-23 22:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-05 16:26 . 2006-09-15 05:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-05 16:26 . 2006-09-15 05:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-05 16:26 . 2004-11-23 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-05 16:26 . 2005-01-02 01:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-06-05 16:26 . 2007-10-07 06:39 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-05 16:25 . 2008-06-05 16:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-03 17:18 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-03 17:18 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-03 17:18 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-03 17:18 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-03 17:17 . 2008-06-06 06:55 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-03 17:17 . 2008-06-03 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\PC Tools
2008-06-03 15:17 . 2008-06-05 21:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-03 15:17 . 2008-06-03 15:17 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-01 20:55 . 2008-06-01 20:56 <DIR> d-------- C:\Programme\Trojancheck 6
2008-05-29 16:23 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-05-29 15:55 . 2008-05-29 15:55 102,400 --a------ C:\WINDOWS\system32\gulsxnqv.dll
2008-05-23 07:51 . 2008-05-23 07:51 <DIR> d-------- C:\Logs
2008-05-14 16:36 . 2008-05-14 16:36 6,656 --a------ C:\WINDOWS\system32\drivers\msikbd2k.sys
2008-05-13 09:56 . 2008-06-06 07:00 70 --a------ C:\WINDOWS\msiosd.ini
2008-05-11 10:04 . 2008-05-11 10:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\T-Com
2008-05-11 10:04 . 2007-09-12 17:24 26,816 --a------ C:\WINDOWS\system32\drivers\DslTestSp5.sys
2008-05-11 09:58 . 2007-06-26 11:53 13,824 --a------ C:\WINDOWS\system32\drivers\tsmpkt.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 05:00 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-05 15:20 --------- d-----w C:\Programme\ICQToolbar
2008-06-05 14:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-05 12:54 --------- d-----w C:\Programme\Warcraft III
2008-06-05 12:13 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\teamspeak2
2008-06-03 21:44 --------- d-----w C:\Programme\DAEMON Tools SearchBar
2008-06-01 08:52 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Skype
2008-05-30 04:53 --------- d-----w C:\Programme\World of Warcraft
2008-05-27 19:25 --------- d-----w C:\Programme\Free WMA to MP3 Converter
2008-05-11 08:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online DSL-Manager
2008-05-08 19:27 --------- d-----w C:\Programme\PeerGuardian2
2008-04-28 19:30 --------- d-----w C:\Programme\iTunes
2008-04-28 19:30 --------- d-----w C:\Programme\iPod
2008-04-28 19:29 --------- d-----w C:\Programme\Bonjour
2008-04-26 10:22 --------- d-----w C:\Programme\Disc2Phone
2008-04-19 11:44 --------- d-----w C:\Programme\ICQ6
2007-07-24 20:00 42 ----a-w C:\Programme\File downloaded from www.littlefighter.biz.txt
2007-07-24 19:25 84 ----a-w C:\Programme\More Downloads!.url
2007-07-24 19:24 91 ----a-w C:\Programme\readme!.txt
2007-03-01 13:11 704 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2005-10-05 17:59 571 ----a-w C:\Programme\Readme.txt
2004-03-16 11:46 43,254 ----a-w C:\Programme\davis_f.bmp
2004-03-15 11:25 105,311 ----a-w C:\Programme\davis.dat
2004-03-15 11:18 1,344,054 ----a-w C:\Programme\davis_2.bmp
2004-03-15 10:56 1,344,054 ----a-w C:\Programme\davis_1.bmp
2004-03-15 10:52 449,078 ----a-w C:\Programme\davis_0.bmp
2004-03-14 12:04 37,554 ----a-w C:\Programme\davis_5.bmp
2004-03-13 21:16 14,409 ----a-w C:\Programme\davis_ball.dat
2004-03-13 09:09 37,554 ----a-w C:\Programme\davis_4.bmp
2004-03-13 08:50 11,329 ----a-w C:\Programme\davis_blast.dat
2004-03-12 16:38 606,054 ----a-w C:\Programme\davis_col2.bmp
2004-03-12 16:22 72,654 ----a-w C:\Programme\davis_blast.bmp
2004-03-12 16:16 1,212,054 ----a-w C:\Programme\davis_col.bmp
2004-03-12 14:19 37,554 ----a-w C:\Programme\davis_3.bmp
2002-03-14 18:58 2,876 ----a-w C:\Programme\davis_s.bmp
2002-03-14 18:36 47,328 ----a-w C:\Programme\davis_ball.bmp
1996-12-02 17:44 582,144 ----a-w C:\Programme\Gemeinsame Dateien\dao350.dll
2006-09-20 14:29 66,936 --sha-w C:\WINDOWS\dlinfo_0.drv
2007-02-25 12:40 56 --sh--r C:\WINDOWS\system32\220C2AF687.sys
2007-02-25 12:40 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FLMOFFICEMOUSE"="C:\Programme\Neolec\Neolec Optical Mouse\mouse32a.exe" [2008-03-08 11:42 356352]
"FLMOFFICEKEYBOARD"="C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OFFICEKB.exe" [2008-03-08 14:08 215040]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"1MDxVaGrRJ"= C:\WINDOWS\system32\winver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Ocean Technology\\GG E-Sports Platform\\GGclient.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Shareaza\\Shareaza.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\Warcraft III\\Frozen Throne.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25075:TCP"= 25075:TCP:BitComet 25075 TCP
"25075:UDP"= 25075:UDP:BitComet 25075 UDP
"3724:TCP"= 3724:TCP:Blizzard Downloader
"22893:TCP"= 22893:TCP:BitComet 22893 TCP
"22893:UDP"= 22893:UDP:BitComet 22893 UDP
"8242:TCP"= 8242:TCP:BitComet 8242 TCP
"8242:UDP"= 8242:UDP:BitComet 8242 UDP
"6112:TCP"= 6112:TCP:war6112 tcp
"6112:UDP"= 6112:UDP:war6112udp
"6113:TCP"= 6113:TCP:war6113
"6113:UDP"= 6113:UDP:war6113udp
"6114:TCP"= 6114:TCP:war6114tcp
"6114:UDP"= 6114:UDP:war6114udp
"6115:TCP"= 6115:TCP:war6115tcp
"6115:UDP"= 6115:UDP:war6115udp
"6116:TCP"= 6116:TCP:war6116tcp
"6116:UDP"= 6116:UDP:war6116udp
"6117:TCP"= 6117:TCP:war6117tcp
"6117:UDP"= 6117:UDP:war6117udp
"6118:TCP"= 6118:TCP:war6118tcp
"6118:UDP"= 6118:UDP:war6118udp
"6119:TCP"= 6119:TCP:war6119tcp
"6119:UDP"= 6119:UDP:war6119udp

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 17:11]
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2008-05-14 16:36]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 16:16]
R2 nhksrv;Netropa NHK Server;C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\nhksrv.exe [2008-05-14 16:36]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 11:53]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 17:24]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 08:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 14:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 se46bus;Sony Ericsson Device 070 driver (WDM);C:\WINDOWS\system32\DRIVERS\se46bus.sys [2006-11-30 16:11]
S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se46mdfl.sys [2006-11-30 16:11]
S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se46mdm.sys [2006-11-30 16:11]
S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se46mgmt.sys [2006-11-30 16:11]
S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se46nd5.sys [2006-11-30 16:11]
S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se46obex.sys [2006-11-30 16:11]
S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se46unic.sys [2006-11-30 16:11]
S4 TDslMgrService;DSL-Manager;"C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-11-26 14:50]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 06:59:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\Unlocker\UnlockerHook.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\MMKEYB.EXE
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\TRAYMON.EXE
C:\Programme\Neolec\Neolec Wireless Desktop OFFICE\OSD.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 7:11:43 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-06 05:11:33

24 Verzeichnis(se), 24,750,657,536 Bytes frei
32 Verzeichnis(se), 24,714,395,648 Bytes frei

255 --- E O F --- 2008-05-16 22:19:26

06.06.2008, 07:33

Argus

Ehrenmitglied

Beiträge: 6028

#6 ViruTotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei http://www.virustotal.com/de

C:\WINDOWS\system32\gulsxnqv.dll

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
__________
MfG Argus

06.06.2008, 11:36

heartreaver

...neu hier

Themenstarter

Beiträge: 6

#7 hab ich gemacht, die datei ist wohl auch verseucht. Hier die Daten von viustotal:

AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.26 2008.06.06 HEUR/Crypted
Authentium 5.1.0.4 2008.06.05 W32/Downloader.AA.gen!Eldorado
Avast 4.8.1195.0 2008.06.06 -
AVG 7.5.0.516 2008.06.06 -
BitDefender 7.2 2008.06.06 -
CAT-QuickHeal 9.50 2008.06.05 -
ClamAV 0.92.1 2008.06.06 -
DrWeb 4.44.0.09170 2008.06.06 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5853 2008.06.06 -
Ewido 4.0 2008.06.05 -
F-Prot 4.4.4.56 2008.06.05 W32/Downloader.AA.gen!Eldorado
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.06 -
GData 2.0.7306.1023 2008.06.06 -
Ikarus T3.1.1.26.0 2008.06.06 -
Kaspersky 7.0.0.125 2008.06.06 -
McAfee 5311 2008.06.05 -
Microsoft 1.3604 2008.06.06 Trojan:Win32/Busky.B
NOD32v2 3163 2008.06.06 a variant of Win32/Adware.UltimateDefender
Norman 5.80.02 2008.06.05 -
Panda 9.0.0.4 2008.06.05 Suspicious file
Prevx1 V2 2008.06.06 -
Rising 20.47.40.00 2008.06.06 -
Sophos 4.30.0 2008.06.06 Mal/EncPk-DG
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.06 -
TheHacker 6.2.92.337 2008.06.06 -
VBA32 3.12.6.7 2008.06.05 -
VirusBuster 4.3.26:9 2008.06.05 -
Webwasher-Gateway 6.6.2 2008.06.06 Heuristic.Crypted
weitere Informationen
File size: 102400 bytes
MD5...: 18139cd713862cc13c79e60ba73a8be2
SHA1..: c6146f639d30345be8e5a219508f7f6691a0d30f
SHA256: 78aee31e473eae05bb11399727f9d5958d065a55abf3ebded4a2f88839b18646
SHA512: ccf229d8d37e4002bbff9ea0d8ed4b279d53fc5abe4639d94778eb5929f138ef
6a6b67f9d610f7eca6601bb88197e5a41596bc601b9336018e0ddc7cb254c522
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001213f
timedatestamp.....: 0x483e8da5 (Thu May 29 11:04:05 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc 0x1000 0.03 83703db8f0dae49015cb9d9f631613fb
.rdata 0x2000 0x117 0x1000 0.48 d3333cf1781c02a8ce969a9c50602143
.data 0x3000 0x34e0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
_TEXT2 0x7000 0x13bc0 0x14000 6.73 4ff383456a0a768897a44d6fd81a98b1
.reloc 0x1b000 0x1a70 0x2000 6.18 2373b71a2f82ccd57fdc992030509605

( 1 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

06.06.2008, 11:53

Argus

Ehrenmitglied

Beiträge: 6028

#8 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Oeffne:OTMoveIt.exe
(Vista benutzer, rechtsklick auf OTMoveit2.exe und waehle "Run as Administrator")

Kopiere (selektiere en klick Ctrl-C) alle unterstehende

Zitat

C:\!KillBox
C:\WINDOWS\system32\gulsxnqv.dll
C:\WINDOWS\system32\winver.exe
C:\Programme\More Downloads!.url
C:\Programme\File downloaded from www.littlefighter.biz.txt

im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

06.06.2008, 12:09

Sabina

Ehrenmitglied

Beiträge: 29434

#9 Hallo,

führe bitte das noch aus:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"1MDxVaGrRJ"=-

__________
MfG Sabina

rund um die PC-Sicherheit

06.06.2008, 12:46

heartreaver

...neu hier

Themenstarter

Beiträge: 6

#10 wenn ich C:\WINDOWS\system32\gulsxnqv.dll "moven" will dann bleibt das OTMoveIt2 programm hängen. bei den anderen dateien macht er das

File/Folder C:\!KillBox not found.
C:\WINDOWS\system32\winver.exe moved successfully.
File/Folder C:\Programme\More Downloads!.url not found.
File/Folder C:\Programme\File downloaded from www.littlefighter.biz.txt not found.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06062008_124311

06.06.2008, 12:51

Sabina

Ehrenmitglied

Beiträge: 29434

#11 loesche die gulsxnqv.dll damit:
http://virus-protect.org/artikel/tools/undll.html
__________
MfG Sabina

rund um die PC-Sicherheit

06.06.2008, 13:00

heartreaver

...neu hier

Themenstarter

Beiträge: 6

#12 yo danke schön hat alles geklappt