Trojaner !! Webseiten öffnen sich selbst SPAM !!

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.06.2008, 15:20
Member

Beiträge: 28
#1 Hallo !!

Seit gestern habe Ich folgendes Problem:

Beim Starten von IE oder Morzilla öffnet sich immer folgende Website: h**p://de.celldorado.com/DE/ADS/1338973316/index.php?trackid=1626355737&clickid=000hrn00dLt11CvEV27oPQBYofdtvd3f&tick=0&ce_cid=000hrn00dLt11CvEV27oPQBYofdtvd3f

zudem ist der Seitenaufbau extrem langsam,zeitweise sturtzt er auch ab.

Hier mal ein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:06:56, on 26.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\vodafone\epos\db\jds\bin\jdatas~1.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\RETROS~1\RETROS~1.0\retrorun.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\msiexec.exe
D:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xtranet.euronics.de/index.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {080935D8-BD52-4C95-A52E-C44762788421} - C:\WINDOWS\system32\yayaYron.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {0b1d465a-7e4f-d0f8-3a94-49475ad08c1c} - {c1c80da5-7494-49a3-8f0d-f4e7a564d1b0} - C:\WINDOWS\system32\arryrfgr.dll
O2 - BHO: (no name) - {C5E84927-CFF0-4CA3-A068-02E7C01C1E7C} - C:\WINDOWS\system32\efcBRjKb.dll
O2 - BHO: (no name) - {E8BC8401-475B-4E34-8762-96036DF47522} - C:\WINDOWS\system32\ddcDvtst.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [88895758] rundll32.exe "C:\WINDOWS\system32\ohcbapch.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM8bba64c4] Rundll32.exe "C:\WINDOWS\system32\ylswbqpd.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} (PrinterHelpEtcActiveX Control) - http://www.samsungdp.com/printerhelp/ActiveX/DrPrinter.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201514582343
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6B12E06-8C97-47B1-B5FC-D59CD00E94F7}: NameServer = 192.168.48.1
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: efcBRjKb - C:\WINDOWS\SYSTEM32\efcBRjKb.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JDataStoreEpos - Unknown owner - c:\progra~1\vodafone\epos\db\jds\bin\jdatas~1.exe
O23 - Service: SQL Server (O2) (MSSQL$O2) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sO2 (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Retrospect Express HD Launcher (RetroExpLauncher) - EMC Corporation - C:\PROGRA~1\RETROS~1\RETROS~1.0\retrorun.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe


Bitte um schnelle Hilfe DANKE !!

Gruß Sin.Schumi
Seitenanfang Seitenende
26.06.2008, 15:31
Moderator

Beiträge: 7805
#2 Poste bitte auch ein Combofix Report:
http://board.protecus.de/t23188.htm

Nutze bitte diesen Link fuer den Conmbofix download
http://download.bleepingcomputer.com/sUBs/+/ComboFix.exe

Muss noch nachlegen, das du gerne vorher Backups anlegen darfst. Aber das sagt dir CF ja auch schon beim Start. Garantie und Gewährleistung geben wir keine.... ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2008, 15:42
Member

Themenstarter

Beiträge: 28
#3 ComboFix 08-06-20.4 - Freischaltung Lotz 2008-06-26 15:28:58.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.970 [GMT 2:00]
ausgeführt von:: D:\Trojaner\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8bba64c4.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\dmlgecbm.ini
C:\WINDOWS\system32\esnxyhag.ini
C:\WINDOWS\system32\hcpabcho.ini
C:\WINDOWS\system32\jjynokyo.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\norYayay.ini
C:\WINDOWS\system32\norYayay.ini2
C:\WINDOWS\system32\qsqdhjwf.ini
C:\WINDOWS\system32\search.dll
C:\WINDOWS\system32\tstvDcdd.ini
C:\WINDOWS\system32\tstvDcdd.ini2
C:\WINDOWS\system32\vEhknUtv.ini
C:\WINDOWS\system32\vEhknUtv.ini2
C:\WINDOWS\system32\vtUnkhEv.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-26 bis 2008-06-26 ))))))))))))))))))))))))))))))
.

2008-06-26 15:10 . 2008-06-26 15:10 80,896 --a------ C:\WINDOWS\system32\oykonyjj.dll
2008-06-26 15:09 . 2008-06-26 15:09 106,496 --a------ C:\WINDOWS\system32\eubbujbs.dll
2008-06-26 15:09 . 2008-06-26 15:09 91,648 --a------ C:\WINDOWS\system32\aigewlhr.dll
2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Programme\Lavasoft
2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-26 12:35 . 2008-06-26 12:35 106,496 --a------ C:\WINDOWS\system32\arryrfgr.dll
2008-06-26 12:26 . 2008-06-26 12:26 91,648 --a------ C:\WINDOWS\system32\ylswbqpd.dll
2008-06-26 11:31 . 2008-06-26 12:25 211 --a------ C:\WINDOWS\wininit.ini
2008-06-26 10:24 . 2008-06-26 10:24 106,496 --a------ C:\WINDOWS\system32\qipkpiiw.dll
2008-06-26 10:15 . 2008-06-26 10:15 91,648 --a------ C:\WINDOWS\system32\iygfuebi.dll
2008-06-25 10:19 . 2008-06-25 10:19 99,840 --a------ C:\WINDOWS\system32\ggrwuqgt.dll
2008-06-25 10:16 . 2008-06-25 10:16 81,920 --------- C:\WINDOWS\system32\gahyxnse.dll
2008-06-25 10:13 . 2008-06-25 10:13 91,136 --a------ C:\WINDOWS\system32\ofygkmgv.dll
2008-06-24 11:14 . 2008-06-24 11:14 25,088 --a------ C:\WINDOWS\system32\efcBRjKb.dll
2008-06-17 11:07 . 2008-06-17 11:08 <DIR> d-------- C:\Testbilder jpeg
2008-06-16 12:12 . 2007-12-20 01:04 471,040 --------- C:\WINDOWS\instwcli.dex
2008-06-16 11:57 . 2008-06-16 11:57 <DIR> d-------- C:\Programme\AVM_update
2008-06-11 08:55 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 08:55 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-05 13:07 . 2008-06-21 11:38 <DIR> d-------- C:\Downloads
2008-06-03 16:58 . 2008-06-03 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\.jdatastore7
2008-05-27 09:53 . 2008-05-27 09:53 315,392 --a------ C:\WINDOWS\HideWin.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-26 13:35 --------- d-----w C:\Programme\PeerGuardian2
2008-06-26 13:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-26 13:05 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-26 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-26 13:02 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\uTorrent
2008-06-26 09:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RetroExp
2008-06-25 13:12 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\TeraCopy
2008-06-19 07:36 --------- d-----w C:\Programme\uTorrent
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-21 14:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-21 14:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-05-21 11:30 87,608 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\inst.exe
2008-05-21 11:30 47,360 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\pcouffin.sys
2008-05-21 11:30 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Vso
2008-05-20 11:35 --------- d-----w C:\Programme\OO Software
2008-05-20 07:51 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-05-19 11:57 --------- d-----w C:\Programme\tewi
2008-05-16 09:43 --------- d-----w C:\Programme\Retrospect
2008-05-16 09:41 --------- d-----w C:\Programme\BUFFALO
2008-05-13 10:00 --------- d-----w C:\Programme\FlashGet
2008-05-09 07:33 --------- d-----w C:\Programme\Nokia
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 13:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2008-05-08 13:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-05-08 13:29 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Nokia
2008-05-08 13:21 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\PC Suite
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-05-08 13:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-05-08 13:17 --------- d-----w C:\Programme\PC Connectivity Solution
2008-05-08 13:17 --------- d-----w C:\Programme\DIFX
2008-05-08 12:51 --------- d-----w C:\Programme\SignSIS-GUI
2008-05-08 11:53 --------- d-----w C:\Programme\Symbian OS Tools
2008-05-08 11:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symbian
2008-05-08 11:53 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\InstallShield
2008-05-05 16:01 --------- d-----w C:\Programme\Google
2008-05-05 15:17 --------- d-----w C:\Programme\Palm
2008-05-03 07:24 --------- d-----w C:\Programme\Prodanet Online
2008-05-02 13:48 --------- d-----w C:\Programme\FlashFXP
2008-04-25 08:02 53,248 ----a-w C:\WINDOWS\PalmDevC.dll
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:53 151,040 ----a-w C:\WINDOWS\pchealth\UploadLB\Binaries\uploadm.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{080935D8-BD52-4C95-A52E-C44762788421}]
C:\WINDOWS\system32\yayaYron.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ab5693ad-9723-4cdd-8725-6dc8cc11d6b4}]
2008-06-26 15:09 106496 --a------ C:\WINDOWS\system32\eubbujbs.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
2008-06-24 11:14 25088 --a------ C:\WINDOWS\system32\efcBRjKb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E8BC8401-475B-4E34-8762-96036DF47522}]
C:\WINDOWS\system32\ddcDvtst.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 19:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 09:08 577536 C:\WINDOWS\soundman.exe]
"SiSPower"="SiSPower.dll" [2006-01-09 05:57 49152 C:\WINDOWS\system32\SiSPower.dll]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2008-01-28 13:07 949376]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 02:08 2512392]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2005-12-21 10:14 73728]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe" [2007-05-30 18:21 520192]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"88895758"="C:\WINDOWS\system32\oykonyjj.dll" [2008-06-26 15:10 80896]
"BM8bba64c4"="C:\WINDOWS\system32\aigewlhr.dll" [2008-06-26 15:09 91648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"= C:\WINDOWS\system32\efcBRjKb.dll [2008-06-24 11:14 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcBRjKb]
efcBRjKb.dll 2008-06-24 11:14 25088 C:\WINDOWS\system32\efcBRjKb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"E:\\NRPG RatioMasterneu\\NRPG RatioMaster.exe"=

R2 JDataStoreEpos;JDataStoreEpos;c:\progra~1\vodafone\epos\db\jds\bin\jdatas~1.exe [2006-07-27 14:31]
R2 MSSQL$O2;SQL Server (O2);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sO2 []
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2008-04-14 07:22]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{202f6420-1e5e-11dd-8adb-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{225a22a1-20c0-11dd-8adc-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70e03390-3b8a-11dd-8afd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aea298bc-11cc-11dd-8ac6-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3221c5a-15bc-11dd-8acd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0362094-1c03-11dd-8ad6-00173180c3b4}]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

*Newly Created Service* - PGFILTER
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 15:34:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\efcBRjKb.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Eset\pr_imon.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\oykonyjj.dll
-> C:\WINDOWS\system32\aigewlhr.dll
-> C:\Programme\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\ESET\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\RETROS~1\RETROS~1.0\retrorun.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\sistray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-26 15:37:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-26 13:37:45
ComboFix2.txt 2008-03-06 11:58:14
ComboFix3.txt 2008-03-06 11:49:16
ComboFix4.txt 2008-03-03 15:01:13

15 Verzeichnis(se), 20,531,544,064 Bytes frei
17 Verzeichnis(se), 20,751,671,296 Bytes frei

212 --- E O F --- 2008-06-20 13:00:29
Seitenanfang Seitenende
26.06.2008, 15:48
Moderator

Beiträge: 7805
#4 Das ist eine Asbach Version von Combofix. Bitte eine neue Version von dem Link herunterladen, den ich oben angegeben habe und erneut ein Report erstellen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2008, 16:35
Member

Themenstarter

Beiträge: 28
#5 Neuer Versuch ;-)



ComboFix 08-06-25.3 - Freischaltung Lotz 2008-06-26 16:21:16.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1036 [GMT 2:00]
ausgeführt von:: D:\Trojaner\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8bba64c4.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gahyxnse.dll
C:\WINDOWS\system32\jjynokyo.ini
C:\WINDOWS\system32\oykonyjj.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-26 bis 2008-06-26 ))))))))))))))))))))))))))))))
.

2008-06-26 15:09 . 2008-06-26 15:09 106,496 --a------ C:\WINDOWS\system32\eubbujbs.dll
2008-06-26 15:09 . 2008-06-26 15:09 91,648 --a------ C:\WINDOWS\system32\aigewlhr.dll
2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Programme\Lavasoft
2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-26 12:35 . 2008-06-26 12:35 106,496 --a------ C:\WINDOWS\system32\arryrfgr.dll
2008-06-26 12:26 . 2008-06-26 12:26 91,648 --a------ C:\WINDOWS\system32\ylswbqpd.dll
2008-06-26 11:31 . 2008-06-26 12:25 211 --a------ C:\WINDOWS\wininit.ini
2008-06-26 10:24 . 2008-06-26 10:24 106,496 --a------ C:\WINDOWS\system32\qipkpiiw.dll
2008-06-26 10:15 . 2008-06-26 10:15 91,648 --a------ C:\WINDOWS\system32\iygfuebi.dll
2008-06-25 10:19 . 2008-06-25 10:19 99,840 --a------ C:\WINDOWS\system32\ggrwuqgt.dll
2008-06-25 10:13 . 2008-06-25 10:13 91,136 --a------ C:\WINDOWS\system32\ofygkmgv.dll
2008-06-24 11:14 . 2008-06-24 11:14 25,088 --a------ C:\WINDOWS\system32\efcBRjKb.dll
2008-06-17 11:07 . 2008-06-17 11:08 <DIR> d-------- C:\Testbilder jpeg
2008-06-16 12:12 . 2007-12-20 01:04 471,040 --------- C:\WINDOWS\instwcli.dex
2008-06-16 11:57 . 2008-06-16 11:57 <DIR> d-------- C:\Programme\AVM_update
2008-06-11 08:55 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 08:55 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-05 13:07 . 2008-06-21 11:38 <DIR> d-------- C:\Downloads
2008-06-03 16:58 . 2008-06-03 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\.jdatastore7
2008-05-27 09:53 . 2008-05-27 09:53 315,392 --a------ C:\WINDOWS\HideWin.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-26 14:27 --------- d-----w C:\Programme\PeerGuardian2
2008-06-26 13:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-26 13:05 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-26 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-26 13:02 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\uTorrent
2008-06-26 09:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RetroExp
2008-06-25 13:12 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\TeraCopy
2008-06-19 07:36 --------- d-----w C:\Programme\uTorrent
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-21 14:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-21 14:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-05-21 11:30 87,608 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\inst.exe
2008-05-21 11:30 47,360 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\pcouffin.sys
2008-05-21 11:30 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Vso
2008-05-20 11:35 --------- d-----w C:\Programme\OO Software
2008-05-20 07:51 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-05-19 11:57 --------- d-----w C:\Programme\tewi
2008-05-16 09:43 --------- d-----w C:\Programme\Retrospect
2008-05-16 09:41 --------- d-----w C:\Programme\BUFFALO
2008-05-13 10:00 --------- d-----w C:\Programme\FlashGet
2008-05-09 07:33 --------- d-----w C:\Programme\Nokia
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 13:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2008-05-08 13:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-05-08 13:29 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Nokia
2008-05-08 13:21 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\PC Suite
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-05-08 13:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-05-08 13:17 --------- d-----w C:\Programme\PC Connectivity Solution
2008-05-08 13:17 --------- d-----w C:\Programme\DIFX
2008-05-08 12:51 --------- d-----w C:\Programme\SignSIS-GUI
2008-05-08 11:53 --------- d-----w C:\Programme\Symbian OS Tools
2008-05-08 11:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symbian
2008-05-08 11:53 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\InstallShield
2008-05-05 16:01 --------- d-----w C:\Programme\Google
2008-05-05 15:17 --------- d-----w C:\Programme\Palm
2008-05-03 07:24 --------- d-----w C:\Programme\Prodanet Online
2008-05-02 13:48 --------- d-----w C:\Programme\FlashFXP
2008-04-25 08:02 53,248 ----a-w C:\WINDOWS\PalmDevC.dll
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:53 151,040 ----a-w C:\WINDOWS\pchealth\UploadLB\Binaries\uploadm.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ab5693ad-9723-4cdd-8725-6dc8cc11d6b4}]
2008-06-26 15:09 106496 --a------ C:\WINDOWS\system32\eubbujbs.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
2008-06-24 11:14 25088 --a------ C:\WINDOWS\system32\efcBRjKb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 19:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2008-01-28 13:07 949376]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 02:08 2512392]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2005-12-21 10:14 73728]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe" [2007-05-30 18:21 520192]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"BM8bba64c4"="C:\WINDOWS\system32\aigewlhr.dll" [2008-06-26 15:09 91648]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 09:08 577536 C:\WINDOWS\soundman.exe]
"SiSPower"="SiSPower.dll" [2006-01-09 05:57 49152 C:\WINDOWS\system32\SiSPower.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"= "C:\WINDOWS\system32\efcBRjKb.dll" [2008-06-24 11:14 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcBRjKb]
2008-06-24 11:14 25088 C:\WINDOWS\system32\efcBRjKb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"E:\\NRPG RatioMasterneu\\NRPG RatioMaster.exe"=

R2 JDataStoreEpos;JDataStoreEpos;c:\progra~1\vodafone\epos\db\jds\bin\jdatas~1.exe [2006-07-27 14:31]
R2 MSSQL$O2;SQL Server (O2);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sO2 []
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2008-04-14 07:22]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{202f6420-1e5e-11dd-8adb-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{225a22a1-20c0-11dd-8adc-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70e03390-3b8a-11dd-8afd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aea298bc-11cc-11dd-8ac6-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3221c5a-15bc-11dd-8acd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0362094-1c03-11dd-8ad6-00173180c3b4}]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

.
- - - - ORPHANS REMOVED - - - -

BHO-{080935D8-BD52-4C95-A52E-C44762788421} - C:\WINDOWS\system32\yayaYron.dll
BHO-{E8BC8401-475B-4E34-8762-96036DF47522} - C:\WINDOWS\system32\ddcDvtst.dll
MSConfigStartUp-swg - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 16:25:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\efcBRjKb.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Eset\pr_imon.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\aigewlhr.dll
-> C:\Programme\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\ESET\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\RETROS~1\RETROS~1.0\retrorun.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\sistray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-26 16:29:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-26 14:29:24
ComboFix2.txt 2008-06-26 13:37:53
ComboFix3.txt 2008-03-06 11:58:14
ComboFix4.txt 2008-03-06 11:49:16
ComboFix5.txt 2008-03-03 15:01:13

15 Verzeichnis(se), 20,773,093,376 Bytes frei
16 Verzeichnis(se), 20,761,366,528 Bytes frei

194 --- E O F --- 2008-06-20 13:00:29
Seitenanfang Seitenende
26.06.2008, 16:44
Moderator

Beiträge: 7805
#6 1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code


http://board.protecus.de/t34039.htm

collect::[49]
C:\WINDOWS\system32\eubbujbs.dll
C:\WINDOWS\system32\aigewlhr.dll
C:\WINDOWS\system32\arryrfgr.dll
C:\WINDOWS\system32\ylswbqpd.dll
C:\WINDOWS\system32\qipkpiiw.dll
C:\WINDOWS\system32\iygfuebi.dll
C:\WINDOWS\system32\ggrwuqgt.dll
C:\WINDOWS\system32\ofygkmgv.dll
C:\WINDOWS\system32\efcBRjKb.dll


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (falls gefragt wird ob Du neustarten willst), poste bitte das neu erzeugte Combofix Log

7. Danach meldet sich Combofix mit der Meldung, das eine Datei zur Ueberpruefung verschickt werden muss. Bestaetige die Meldung und folge den Schritten, die dir im Internetexploerer angezeigt werden.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.06.2008, 10:43
Member

Themenstarter

Beiträge: 28
#7 ComboFix 08-06-25.3 - Freischaltung Lotz 2008-06-27 10:29:17.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1051 [GMT 2:00]
ausgeführt von:: D:\Trojaner\ComboFix.exe
Command switches used :: D:\Trojaner\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8bba64c4.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aHQtAJlm.ini
C:\WINDOWS\system32\aHQtAJlm.ini2
C:\WINDOWS\system32\aigewlhr.dll
C:\WINDOWS\system32\arryrfgr.dll
C:\WINDOWS\system32\efcBRjKb.dll
C:\WINDOWS\system32\eubbujbs.dll
C:\WINDOWS\system32\fwgiyxqx.dll
C:\WINDOWS\system32\ggrwuqgt.dll
C:\WINDOWS\system32\iygfuebi.dll
C:\WINDOWS\system32\mlJAtQHa.dll
C:\WINDOWS\system32\ofygkmgv.dll
C:\WINDOWS\system32\qipkpiiw.dll
C:\WINDOWS\system32\xqxyigwf.ini
C:\WINDOWS\system32\ylswbqpd.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 ))))))))))))))))))))))))))))))
.

2008-06-26 16:52 . 2008-06-26 16:52 106,496 --a------ C:\WINDOWS\system32\xyfbeogv.dll
2008-06-26 16:47 . 2008-06-26 16:47 91,648 --a------ C:\WINDOWS\system32\ixqyllvm.dll
2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Programme\Lavasoft
2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-26 11:31 . 2008-06-26 12:25 211 --a------ C:\WINDOWS\wininit.ini
2008-06-17 11:07 . 2008-06-17 11:08 <DIR> d-------- C:\Testbilder jpeg
2008-06-16 12:12 . 2007-12-20 01:04 471,040 --------- C:\WINDOWS\instwcli.dex
2008-06-16 11:57 . 2008-06-16 11:57 <DIR> d-------- C:\Programme\AVM_update
2008-06-11 08:55 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 08:55 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-05 13:07 . 2008-06-21 11:38 <DIR> d-------- C:\Downloads
2008-06-03 16:58 . 2008-06-03 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\.jdatastore7
2008-05-27 09:53 . 2008-05-27 09:53 315,392 --a------ C:\WINDOWS\HideWin.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 08:30 --------- d-----w C:\Programme\PeerGuardian2
2008-06-26 13:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-26 13:05 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-26 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-26 13:02 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\uTorrent
2008-06-26 09:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RetroExp
2008-06-25 13:12 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\TeraCopy
2008-06-19 07:36 --------- d-----w C:\Programme\uTorrent
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-21 14:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-21 14:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-05-21 11:30 87,608 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\inst.exe
2008-05-21 11:30 47,360 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\pcouffin.sys
2008-05-21 11:30 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Vso
2008-05-20 11:35 --------- d-----w C:\Programme\OO Software
2008-05-20 07:51 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-05-19 11:57 --------- d-----w C:\Programme\tewi
2008-05-16 09:43 --------- d-----w C:\Programme\Retrospect
2008-05-16 09:41 --------- d-----w C:\Programme\BUFFALO
2008-05-13 10:00 --------- d-----w C:\Programme\FlashGet
2008-05-09 07:33 --------- d-----w C:\Programme\Nokia
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 13:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2008-05-08 13:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-05-08 13:29 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Nokia
2008-05-08 13:21 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\PC Suite
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-05-08 13:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-05-08 13:17 --------- d-----w C:\Programme\PC Connectivity Solution
2008-05-08 13:17 --------- d-----w C:\Programme\DIFX
2008-05-08 12:51 --------- d-----w C:\Programme\SignSIS-GUI
2008-05-08 11:53 --------- d-----w C:\Programme\Symbian OS Tools
2008-05-08 11:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symbian
2008-05-08 11:53 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\InstallShield
2008-05-05 16:01 --------- d-----w C:\Programme\Google
2008-05-05 15:17 --------- d-----w C:\Programme\Palm
2008-05-03 07:24 --------- d-----w C:\Programme\Prodanet Online
2008-05-02 13:48 --------- d-----w C:\Programme\FlashFXP
2008-04-25 08:02 53,248 ----a-w C:\WINDOWS\PalmDevC.dll
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:53 151,040 ----a-w C:\WINDOWS\pchealth\UploadLB\Binaries\uploadm.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7312c535-2278-4e68-b63e-c1275e8f1b49}]
2008-06-26 16:52 106496 --a------ C:\WINDOWS\system32\xyfbeogv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 19:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2008-01-28 13:07 949376]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 02:08 2512392]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2005-12-21 10:14 73728]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe" [2007-05-30 18:21 520192]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"BM8bba64c4"="C:\WINDOWS\system32\ixqyllvm.dll" [2008-06-26 16:47 91648]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 09:08 577536 C:\WINDOWS\soundman.exe]
"SiSPower"="SiSPower.dll" [2006-01-09 05:57 49152 C:\WINDOWS\system32\SiSPower.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"E:\\NRPG RatioMasterneu\\NRPG RatioMaster.exe"=

R2 JDataStoreEpos;JDataStoreEpos;c:\progra~1\vodafone\epos\db\jds\bin\jdatas~1.exe [2006-07-27 14:31]
R2 MSSQL$O2;SQL Server (O2);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sO2 []
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2008-04-14 07:22]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{202f6420-1e5e-11dd-8adb-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{225a22a1-20c0-11dd-8adc-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70e03390-3b8a-11dd-8afd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aea298bc-11cc-11dd-8ac6-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3221c5a-15bc-11dd-8acd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0362094-1c03-11dd-8ad6-00173180c3b4}]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

.
- - - - ORPHANS REMOVED - - - -

Notify-efcBRjKb - efcBRjKb.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 10:33:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\ESET\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\RETROS~1\RETROS~1.0\retrorun.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-27 10:37:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-27 08:37:29
ComboFix2.txt 2008-06-26 14:29:32
ComboFix3.txt 2008-06-26 13:37:53
ComboFix4.txt 2008-03-06 11:58:14
ComboFix5.txt 2008-03-06 11:49:16

15 Verzeichnis(se), 20,877,471,744 Bytes frei
16 Verzeichnis(se), 20,869,160,960 Bytes frei

186 --- E O F --- 2008-06-20 13:00:29
Seitenanfang Seitenende
27.06.2008, 12:03
Moderator

Beiträge: 7805
#8 Du musst noch ein cfscript erstellen. Mache es genauso wie oben beschrieben, nur nimm als cfScript folgendes:

collect::[49]
C:\WINDOWS\system32\xyfbeogv.dll
C:\WINDOWS\system32\ixqyllvm.dll
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.06.2008, 13:14
Member

Themenstarter

Beiträge: 28
#9 ComboFix 08-06-25.3 - Freischaltung Lotz 2008-06-27 13:02:41.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1042 [GMT 2:00]
ausgeführt von:: D:\Trojaner\ComboFix.exe
Command switches used :: D:\Trojaner\Cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8bba64c4.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ixqyllvm.dll
C:\WINDOWS\system32\xyfbeogv.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 ))))))))))))))))))))))))))))))
.

2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Programme\Lavasoft
2008-06-26 14:11 . 2008-06-26 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-26 11:31 . 2008-06-26 12:25 211 --a------ C:\WINDOWS\wininit.ini
2008-06-17 11:07 . 2008-06-17 11:08 <DIR> d-------- C:\Testbilder jpeg
2008-06-16 12:12 . 2007-12-20 01:04 471,040 --------- C:\WINDOWS\instwcli.dex
2008-06-16 11:57 . 2008-06-16 11:57 <DIR> d-------- C:\Programme\AVM_update
2008-06-11 08:55 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 08:55 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-05 13:07 . 2008-06-21 11:38 <DIR> d-------- C:\Downloads
2008-06-03 16:58 . 2008-06-03 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\.jdatastore7
2008-05-27 09:53 . 2008-05-27 09:53 315,392 --a------ C:\WINDOWS\HideWin.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 11:07 --------- d-----w C:\Programme\PeerGuardian2
2008-06-26 13:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-26 13:05 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-26 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-26 13:02 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\uTorrent
2008-06-26 09:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RetroExp
2008-06-25 13:12 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\TeraCopy
2008-06-19 07:36 --------- d-----w C:\Programme\uTorrent
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-21 14:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-21 14:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-05-21 11:30 87,608 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\inst.exe
2008-05-21 11:30 47,360 ----a-w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\pcouffin.sys
2008-05-21 11:30 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Vso
2008-05-20 11:35 --------- d-----w C:\Programme\OO Software
2008-05-20 07:51 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-05-19 11:57 --------- d-----w C:\Programme\tewi
2008-05-16 09:43 --------- d-----w C:\Programme\Retrospect
2008-05-16 09:41 --------- d-----w C:\Programme\BUFFALO
2008-05-13 10:00 --------- d-----w C:\Programme\FlashGet
2008-05-09 07:33 --------- d-----w C:\Programme\Nokia
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 13:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2008-05-08 13:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-05-08 13:29 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\Nokia
2008-05-08 13:21 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\PC Suite
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-08 13:20 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-05-08 13:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-05-08 13:17 --------- d-----w C:\Programme\PC Connectivity Solution
2008-05-08 13:17 --------- d-----w C:\Programme\DIFX
2008-05-08 12:51 --------- d-----w C:\Programme\SignSIS-GUI
2008-05-08 11:53 --------- d-----w C:\Programme\Symbian OS Tools
2008-05-08 11:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symbian
2008-05-08 11:53 --------- d-----w C:\Dokumente und Einstellungen\Freischaltung Lotz\Anwendungsdaten\InstallShield
2008-05-05 16:01 --------- d-----w C:\Programme\Google
2008-05-05 15:17 --------- d-----w C:\Programme\Palm
2008-05-03 07:24 --------- d-----w C:\Programme\Prodanet Online
2008-05-02 13:48 --------- d-----w C:\Programme\FlashFXP
2008-04-25 08:02 53,248 ----a-w C:\WINDOWS\PalmDevC.dll
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 19:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2008-01-28 13:07 949376]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 02:08 2512392]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2005-12-21 10:14 73728]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe" [2007-05-30 18:21 520192]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 09:08 577536 C:\WINDOWS\soundman.exe]
"SiSPower"="SiSPower.dll" [2006-01-09 05:57 49152 C:\WINDOWS\system32\SiSPower.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"E:\\NRPG RatioMasterneu\\NRPG RatioMaster.exe"=

R2 JDataStoreEpos;JDataStoreEpos;c:\progra~1\vodafone\epos\db\jds\bin\jdatas~1.exe [2006-07-27 14:31]
R2 MSSQL$O2;SQL Server (O2);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sO2 []
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2008-04-14 07:22]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{202f6420-1e5e-11dd-8adb-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{225a22a1-20c0-11dd-8adc-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70e03390-3b8a-11dd-8afd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aea298bc-11cc-11dd-8ac6-00173180c3b4}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3221c5a-15bc-11dd-8acd-00173180c3b4}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0362094-1c03-11dd-8ad6-00173180c3b4}]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

*Newly Created Service* - PGFILTER
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-BM8bba64c4 - C:\WINDOWS\system32\ixqyllvm.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 13:06:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\ESET\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\sistray.exe
C:\PROGRA~1\RETROS~1\RETROS~1.0\retrorun.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-27 13:10:00 - machine was rebooted [Freischaltung Lotz]
ComboFix-quarantined-files.txt 2008-06-27 11:09:56
ComboFix2.txt 2008-06-27 08:37:34
ComboFix3.txt 2008-06-26 14:29:32
ComboFix4.txt 2008-06-26 13:37:53
ComboFix5.txt 2008-03-06 11:58:14

15 Verzeichnis(se), 20,838,359,040 Bytes frei
16 Verzeichnis(se), 20,841,893,888 Bytes frei

168 --- E O F --- 2008-06-20 13:00:29
Seitenanfang Seitenende
27.06.2008, 13:35
Moderator

Beiträge: 7805
#10 Das sieht recht gut aus. BTW: Habe gesehen, Punkt 7 aus obiger Anleitung hast du nicht ausgefuehrt?


Nachtrag. Mache noch einen Kopntrollscan mit Malwarebytes Anti Malware:
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.06.2008, 13:23
Member

Themenstarter

Beiträge: 28
#11 hm, weiß Ich nicht, aber die Dummen Seiten bin Ich los und mein I-Net läuft wieder Einwandfrei *freu*

vielen Dank noch :-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »