wieder ein "your computer is infected"

#1 hi leute,

seit gestern stand in meiner taskleiste "your computer is infected... spyware founded... usw" und taskmanager ging nichtmehr an! der rest lief alles wie vorher. dann hab ich nach fund dieses forums erfahren "mbam"(Malwarebytes' Antimalware) durchlaufen zu lassen und alle funde löschen. die software hat gut ca 147 funde gehabt und angeblich erfolgreich gelöscht... so, jetz is laut antivir und "mbam" alles sauber.

aber wie kann ich jetz nochmal sichergehen das alles von dem mist weg is? denn ich kann mir nich vorstellen das es so einfach zu entfernen geht.

pls help

Edit: hier nochma die mbam-log

Zitat

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1253
Windows 5.1.2600 Service Pack 2

11.10.2008 14:24:44
mbam-log-2008-10-11 (14-24-41).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42209
Laufzeit: 3 minute(s), 37 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 38
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 71

Infizierte Speicherprozesse:
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Infizierte Speichermodule:
C:\Programme\guhaqdc\moncomact.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{618685D1-4E5A-F8ED-18F2-01B95CF4F502} (Trojan.FakeAlert.H) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xp_antispyware (Rogue.XPAntiSpyware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\moncomact (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\appweb (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\eaxk1ds1xz (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\Programme\akl (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.

Infizierte Dateien:
C:\Programme\guhaqdc\moncomact.dll (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\laryvqnc.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lmxihork\dsdaxqpa.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> No action taken.

#2 David09

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Erstelle ein HJT Log:
http://virus-protect.org/hjtkurz.html

Gruss Swiss

#3 Combofix-log:

Zitat

ComboFix 08-10-10.09 - D@VID 2008-10-11 15:44:48.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.548 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\D@VID\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 ))))))))))))))))))))))))))))))
.

2008-10-11 15:06 . 2008-10-11 15:06 <DIR> d-------- C:\Programme\CCleaner
2008-10-11 14:17 . 2008-10-11 14:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-11 14:17 . 2008-10-11 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Malwarebytes
2008-10-11 14:17 . 2008-10-11 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-11 14:17 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-11 14:17 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-11 02:02 . 2008-10-11 02:02 <DIR> d-------- C:\Programme\Trend Micro
2008-10-10 21:58 . 2008-10-10 21:58 65,428 --a------ C:\WINDOWS\system32\wini104552502.exe
2008-10-10 21:50 . 2008-10-11 14:26 <DIR> d-------- C:\Programme\guhaqdc
2008-10-10 21:50 . 2008-10-10 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-10-10 21:50 . 2008-10-11 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lmxihork
2008-10-10 13:33 . 2008-10-10 13:33 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2008-10-04 16:21 . 2008-10-04 16:21 <DIR> d-------- C:\Programme\WinSCP
2008-09-28 13:52 . 2008-09-28 13:52 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-09-28 13:52 . 2008-09-28 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\teamspeak2
2008-09-28 13:52 . 2008-09-28 13:52 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-09-21 19:27 . 2008-09-21 19:27 <DIR> d-------- C:\Programme\VirtualDJ
2008-09-21 11:26 . 2008-09-21 11:26 <DIR> d-------- C:\Programme\iPhone Tunnel Suite
2008-09-18 19:06 . 2008-09-18 19:06 <DIR> d-------- C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Nokia
2008-09-18 18:59 . 2004-08-03 23:08 25,600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-09-18 18:59 . 2004-08-03 23:08 25,600 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-09-18 18:58 . 2008-09-18 18:58 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-09-18 18:58 . 2008-09-18 18:58 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-09-18 14:00 . 2008-09-18 18:40 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-18 02:41 . 2008-09-18 02:41 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-09-14 20:12 . 2008-09-14 20:13 <DIR> d-------- C:\Programme\iTunes
2008-09-14 20:12 . 2008-09-14 20:12 <DIR> d-------- C:\Programme\iPod
2008-09-14 20:12 . 2008-09-14 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-14 20:11 . 2008-09-14 20:11 <DIR> d-------- C:\Programme\Bonjour
2008-09-14 20:10 . 2008-09-14 20:11 <DIR> d-------- C:\Programme\QuickTime
2008-09-14 15:59 . 2008-09-14 15:59 293 --a------ C:\config.ini
2008-09-13 22:36 . 2008-09-13 22:36 <DIR> d-------- C:\Programme\MSXML 4.0
2008-09-13 09:08 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-13 09:08 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-12 22:03 . 2008-09-13 22:38 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-12 22:03 . 2006-10-08 21:51 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-12 06:36 . 2008-09-14 16:08 <DIR> d-------- C:\Programme\Silkroad

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 13:26 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Xfire
2008-10-10 19:57 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\BitTorrent
2008-10-10 13:52 --------- d-----w C:\Programme\RedCabalOnline
2008-10-09 09:08 --------- d-s---w C:\Programme\Xfire
2008-09-24 19:46 --------- d-----w C:\Programme\No23 Recorder
2008-09-23 15:02 --------- d-----w C:\Programme\ICQ6
2008-09-21 17:25 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-14 18:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-10 10:30 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\AdobeUM
2008-09-09 17:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-07 18:56 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\DivX
2008-09-07 11:25 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\vlc
2008-09-06 04:19 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Apple Computer
2008-09-06 04:13 --------- d-----w C:\Programme\Apple Software Update
2008-09-06 04:12 --------- d-----w C:\Programme\Safari
2008-09-05 11:20 --------- d-----w C:\Programme\DVDVideoSoft
2008-09-03 13:32 --------- d-----w C:\Programme\mp3DirectCut
2008-09-02 19:53 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\PC Suite
2008-09-02 19:52 --------- d-----w C:\Programme\Nokia
2008-09-02 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-02 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-09-02 19:51 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-02 19:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-09-02 19:44 --------- d-----w C:\Programme\Common Files
2008-08-30 19:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-30 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-30 11:56 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\DNA
2008-08-30 10:54 --------- d-----w C:\Programme\DNA
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-21 20:05 --------- d-----w C:\Programme\Cabal-Latino
2008-08-21 12:18 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\ICQ
2008-08-21 10:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-20 21:34 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\gtk-2.0
2008-08-20 17:37 --------- d-----w C:\Programme\GIMP-2.0
2008-08-20 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2008-08-20 16:43 --------- d-----w C:\Programme\BitTorrent
2008-08-20 11:45 --------- d-----w C:\Programme\DirektX Dreck
2008-08-20 11:10 --------- d-----w C:\Programme\VideoLAN
2008-08-20 01:32 --------- d-----w C:\Programme\Avira
2008-08-20 01:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-20 01:08 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Winamp
2008-08-19 23:26 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-08-19 23:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-08-19 23:08 --------- d-----w C:\Programme\Games-Masters.com
2008-08-19 23:04 --------- d-----w C:\Programme\Winamp
2008-08-19 21:59 --------- d-----w C:\Programme\Winamp Remote
2008-08-19 21:45 --------- d-----w C:\Programme\DivX
2008-08-19 21:43 --------- d-----w C:\Programme\Windows Live
2008-08-19 21:30 --------- d-----w C:\Programme\7-Zip
2008-08-19 20:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-19 20:50 --------- d-----w C:\Programme\ICQ6Toolbar
2008-08-19 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-08-19 20:06 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-08-19 20:05 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\TuneUp Software
2008-08-19 20:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-19 19:41 --------- d-----w C:\Programme\ICQToolbar
2008-08-19 19:41 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\ICQ Toolbar
2008-08-19 16:55 --------- d-----w C:\Programme\ATI Technologies
2008-08-19 16:45 --------- d-----w C:\Programme\C-Media 3D Audio
2008-08-19 16:43 --------- d-----w C:\Programme\SiSLan
2008-08-19 16:33 --------- d-----w C:\Programme\microsoft frontpage
2008-08-19 16:31 --------- d-----w C:\Programme\Online-Dienste
2008-08-19 16:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-12 06:18 467,984 ----a-w C:\WINDOWS\system32\d3dx10_39.dll
2008-07-12 06:18 3,851,784 ----a-w C:\WINDOWS\system32\D3DX9_39.dll
2008-07-12 06:18 1,493,528 ----a-w C:\WINDOWS\system32\D3DCompiler_39.dll
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"AppleSyncNotifier"=C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Dokumente und Einstellungen\\D@VID\\Desktop\\ag\\nuConnector75.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\iPhone Tunnel Suite\\iTunnel\\iTunnel.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\RedCabalOnline\\elitecabal.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 XDva195;XDva195;C:\WINDOWS\system32\XDva195.sys [ ]
S3 XDva201;XDva201;C:\WINDOWS\system32\XDva201.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 05:08]

2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Mozilla\Firefox\Profiles\f8znizyg.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 15:45:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-10-11 15:46:38
ComboFix-quarantined-files.txt 2008-10-11 13:46:13
ComboFix2.txt 2008-10-11 13:27:01

Vor Suchlauf: 7 Verzeichnis(se), 122.319.265.792 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 122,311,733,248 Bytes frei

231 --- E O F --- 2008-09-13 20:38:23

HJT Log :

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:49, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ich\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--

End of file - 3757 bytes

#4 Hallo David09

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\wini104552502.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren


2.
Gehe in die Registry
Start - Ausführen - regedit

ändere alle Werte von 1 in 0

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

Beispiel unter Security Center:
http://virus-protect.org/artikel/tools/disabletaskmgr.html


3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Folder::
C:\Programme\guhaqdc

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

»»
poste nach Neustart das neue Log von Combofix



«
__________
MfG Sabina

rund um die PC-Sicherheit

#5 «
C:\WINDOWS\system32\wini104552502.exe

1.

Zitat

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.10.1 2008.10.10 Win-Trojan/Fakealert.65428
AntiVir 7.8.1.34 2008.10.11 SPR/Dldr.Agent.BS
Authentium 5.1.0.4 2008.10.11 W32/Agent.L.gen!Eldorado
Avast 4.8.1248.0 2008.10.10 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.10 Generic3.UPE
BitDefender 7.2 2008.10.11 Trojan.FakeAV.CF
CAT-QuickHeal 9.50 2008.10.11 Downloader.Agent.bs (Not a Virus)
ClamAV 0.93.1 2008.10.11 -
DrWeb 4.44.0.09170 2008.10.11 Trojan.Fakealert.1475
eSafe 7.0.17.0 2008.10.08 Suspicious File
eTrust-Vet 31.6.6141 2008.10.10 Win32/FakeAV.JW
Ewido 4.0 2008.10.11 -
F-Prot 4.4.4.56 2008.10.11 W32/Agent.L.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.11 W32/Packed_Upack.A
Fortinet 3.113.0.0 2008.10.11 W32/Agent.BS!tr.dldr
GData 19 2008.10.11 Trojan.FakeAV.CF
Ikarus T3.1.1.34.0 2008.10.11 Backdoor.Win32.Agent.ahj
K7AntiVirus 7.10.491 2008.10.11 -
Kaspersky 7.0.0.125 2008.10.11 not-a-virus:Downloader.Win32.Agent.bs
McAfee 5403 2008.10.11 potentially unwanted program Generic PUP
Microsoft 1.4005 2008.10.11 TrojanDownloader:Win32/FakeRean.gen!B
NOD32 3515 2008.10.11 Win32/Adware.WinAntiSpyware
Norman 5.80.02 2008.10.10 W32/Packed_Upack.A
Panda 9.0.0.4 2008.10.11 Adware/XPAntiSpyware2009
PCTools 4.4.2.0 2008.10.11 Packed/Upack
Prevx1 V2 2008.10.11 Malicious Software
Rising 20.65.42.00 2008.10.10 Trojan.Win32.FakeVir.fc
SecureWeb-Gateway 6.7.6 2008.10.11 Riskware.Dldr.Agent.BS
Sophos 4.34.0 2008.10.11 Mal/Heuri-E
Sunbelt 3.1.1715.1 2008.10.11 VIPRE.Suspicious
Symantec 10 2008.10.11 Downloader.MisleadApp
TheHacker 6.3.1.0.106 2008.10.10 W32/Behav-Heuristic-060
TrendMicro 8.700.0.1004 2008.10.10 PAK_Generic.006
VBA32 3.12.8.6 2008.10.10 Downloader.Win32.Agent.bs
ViRobot 2008.10.10.1416 2008.10.10 Spyware.Agent.Do.65428.J
VirusBuster 4.5.11.0 2008.10.11 Packed/Upack
weitere Informationen
File size: 65428 bytes
MD5...: 29011a82de29823d45f9749a37c50d99
SHA1..: 6c14d46a26b3da7599ca2bdfcb98ae839a332099
SHA256: 9309057d0e2afdf367121e89d1c36ffcd5cb08aafee596fba0376842c4764a1c
SHA512: 9418eb8847842a17af939eba77aea2043053641d2d6979018b5fe75e619f3592
b3b5c915717e0a1fa4d22125546d3f881e778bb637088fa1df9a0178dc81fcdd
PEiD..: -
TrID..: File type identification
DOS Executable Generic (100.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x1a000 0x1f0 5.30 2bf5990a403e45977f90ad1d58bb6c0b
@B 0x1b000 0x17000 0xfd24 7.38 ab44e80dd67ca089e9a4e4a26db4a8c8
A@ 0x32000 0x1000 0x1f0 5.30 2bf5990a403e45977f90ad1d58bb6c0b

( 0 imports )

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D62CC8AB94E48BFFFFCD0019AF6B3900CD33C740
packers (Kaspersky): PE_Patch, UPack

2. done

3.

Zitat

ComboFix 08-10-10.09 - D@VID 2008-10-11 18:33:58.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.525 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\D@VID\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\D@VID\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\guhaqdc

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 ))))))))))))))))))))))))))))))
.

2008-10-11 15:48 . 2008-10-11 15:48 <DIR> d-------- C:\Programme\ich
2008-10-11 15:06 . 2008-10-11 15:06 <DIR> d-------- C:\Programme\CCleaner
2008-10-11 14:17 . 2008-10-11 14:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-11 14:17 . 2008-10-11 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Malwarebytes
2008-10-11 14:17 . 2008-10-11 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-11 14:17 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-11 14:17 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-11 02:02 . 2008-10-11 02:02 <DIR> d-------- C:\Programme\Trend Micro
2008-10-10 21:58 . 2008-10-10 21:58 65,428 --a------ C:\WINDOWS\system32\wini104552502.exe
2008-10-10 21:50 . 2008-10-10 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-10-10 21:50 . 2008-10-11 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lmxihork
2008-10-10 13:33 . 2008-10-10 13:33 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2008-10-04 16:21 . 2008-10-04 16:21 <DIR> d-------- C:\Programme\WinSCP
2008-09-28 13:52 . 2008-09-28 13:52 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-09-28 13:52 . 2008-09-28 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\teamspeak2
2008-09-28 13:52 . 2008-09-28 13:52 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-09-21 19:27 . 2008-09-21 19:27 <DIR> d-------- C:\Programme\VirtualDJ
2008-09-21 11:26 . 2008-09-21 11:26 <DIR> d-------- C:\Programme\iPhone Tunnel Suite
2008-09-18 19:06 . 2008-09-18 19:06 <DIR> d-------- C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Nokia
2008-09-18 18:59 . 2004-08-03 23:08 25,600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-09-18 18:59 . 2004-08-03 23:08 25,600 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-09-18 18:58 . 2008-09-18 18:58 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-09-18 18:58 . 2008-09-18 18:58 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-09-18 14:00 . 2008-09-18 18:40 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-18 02:41 . 2008-09-18 02:41 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-09-14 20:12 . 2008-09-14 20:13 <DIR> d-------- C:\Programme\iTunes
2008-09-14 20:12 . 2008-09-14 20:12 <DIR> d-------- C:\Programme\iPod
2008-09-14 20:12 . 2008-09-14 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-14 20:11 . 2008-09-14 20:11 <DIR> d-------- C:\Programme\Bonjour
2008-09-14 20:10 . 2008-09-14 20:11 <DIR> d-------- C:\Programme\QuickTime
2008-09-14 15:59 . 2008-09-14 15:59 293 --a------ C:\config.ini
2008-09-13 22:36 . 2008-09-13 22:36 <DIR> d-------- C:\Programme\MSXML 4.0
2008-09-13 09:08 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-13 09:08 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-12 22:03 . 2008-09-13 22:38 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-12 22:03 . 2006-10-08 21:51 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-12 06:36 . 2008-09-14 16:08 <DIR> d-------- C:\Programme\Silkroad

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 13:26 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Xfire
2008-10-10 19:57 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\BitTorrent
2008-10-10 13:52 --------- d-----w C:\Programme\RedCabalOnline
2008-10-09 09:08 --------- d-s---w C:\Programme\Xfire
2008-09-24 19:46 --------- d-----w C:\Programme\No23 Recorder
2008-09-23 15:02 --------- d-----w C:\Programme\ICQ6
2008-09-21 17:25 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-14 18:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-10 10:30 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\AdobeUM
2008-09-09 17:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-07 18:56 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\DivX
2008-09-07 11:25 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\vlc
2008-09-06 04:19 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Apple Computer
2008-09-06 04:13 --------- d-----w C:\Programme\Apple Software Update
2008-09-06 04:12 --------- d-----w C:\Programme\Safari
2008-09-05 11:20 --------- d-----w C:\Programme\DVDVideoSoft
2008-09-03 13:32 --------- d-----w C:\Programme\mp3DirectCut
2008-09-02 19:53 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\PC Suite
2008-09-02 19:52 --------- d-----w C:\Programme\Nokia
2008-09-02 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-02 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-09-02 19:51 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-02 19:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-09-02 19:44 --------- d-----w C:\Programme\Common Files
2008-08-30 19:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-30 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-30 11:56 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\DNA
2008-08-30 10:54 --------- d-----w C:\Programme\DNA
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-21 20:05 --------- d-----w C:\Programme\Cabal-Latino
2008-08-21 12:18 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\ICQ
2008-08-21 10:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-20 21:34 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\gtk-2.0
2008-08-20 17:37 --------- d-----w C:\Programme\GIMP-2.0
2008-08-20 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2008-08-20 16:43 --------- d-----w C:\Programme\BitTorrent
2008-08-20 11:45 --------- d-----w C:\Programme\DirektX Dreck
2008-08-20 11:10 --------- d-----w C:\Programme\VideoLAN
2008-08-20 01:32 --------- d-----w C:\Programme\Avira
2008-08-20 01:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-20 01:08 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\Winamp
2008-08-19 23:26 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-08-19 23:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-08-19 23:08 --------- d-----w C:\Programme\Games-Masters.com
2008-08-19 23:04 --------- d-----w C:\Programme\Winamp
2008-08-19 21:59 --------- d-----w C:\Programme\Winamp Remote
2008-08-19 21:45 --------- d-----w C:\Programme\DivX
2008-08-19 21:43 --------- d-----w C:\Programme\Windows Live
2008-08-19 21:30 --------- d-----w C:\Programme\7-Zip
2008-08-19 20:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-19 20:50 --------- d-----w C:\Programme\ICQ6Toolbar
2008-08-19 20:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-08-19 20:06 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-08-19 20:05 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\TuneUp Software
2008-08-19 20:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-19 19:41 --------- d-----w C:\Programme\ICQToolbar
2008-08-19 19:41 --------- d-----w C:\Dokumente und Einstellungen\D@VID\Anwendungsdaten\ICQ Toolbar
2008-08-19 16:55 --------- d-----w C:\Programme\ATI Technologies
2008-08-19 16:45 --------- d-----w C:\Programme\C-Media 3D Audio
2008-08-19 16:43 --------- d-----w C:\Programme\SiSLan
2008-08-19 16:33 --------- d-----w C:\Programme\microsoft frontpage
2008-08-19 16:31 --------- d-----w C:\Programme\Online-Dienste
2008-08-19 16:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-12 06:18 467,984 ----a-w C:\WINDOWS\system32\d3dx10_39.dll
2008-07-12 06:18 3,851,784 ----a-w C:\WINDOWS\system32\D3DX9_39.dll
2008-07-12 06:18 1,493,528 ----a-w C:\WINDOWS\system32\D3DCompiler_39.dll
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"AppleSyncNotifier"=C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Dokumente und Einstellungen\\D@VID\\Desktop\\ag\\nuConnector75.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\iPhone Tunnel Suite\\iTunnel\\iTunnel.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\RedCabalOnline\\elitecabal.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 XDva195;XDva195;C:\WINDOWS\system32\XDva195.sys [ ]
S3 XDva201;XDva201;C:\WINDOWS\system32\XDva201.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 05:08]

2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 18:34:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-10-11 18:35:53
ComboFix-quarantined-files.txt 2008-10-11 16:35:22
ComboFix2.txt 2008-10-11 13:46:40
ComboFix3.txt 2008-10-11 13:27:01

Vor Suchlauf: 7 Verzeichnis(se), 122.301.153.280 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 122,291,830,784 Bytes frei

222 --- E O F --- 2008-09-13 20:38:23

alles richtig gemacht?^^ danke schonma für die hilfe

#6 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere ins weisse feld:

Zitat

Files to delete:
C:\WINDOWS\system32\wini104552502.exe

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lmxihork

>>
Wende SDFIX im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei monate:
http://www.virus-protect.org/datfindbat.html


EDIT: BITTE NICHT ZWEIGELEISIG POSTEN:
http://www.trojaner-board.de/61801-mal-wieder-ein-your-computer-infected.html

Gruss Swiss

#7 Avenger:

Zitat

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\wini104552502.exe" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lmxihork" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

SDFIX:

Zitat

SDFix: Version 1.234
Run by D@VID on 11.10.2008 at 20:30

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 20:36:20
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"="C:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe:*:Enabled:EST! download engine"
"C:\\Programme\\Xfire\\xfire.exe"="C:\\Programme\\Xfire\\xfire.exe:*:Enabled:Xfire"
"C:\\Programme\\DNA\\btdna.exe"="C:\\Programme\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Dokumente und Einstellungen\\D@VID\\Desktop\\ag\\nuConnector75.exe"="C:\\Dokumente und Einstellungen\\D@VID\\Desktop\\ag\\nuConnector75.exe:*:Enabled:nuConnector75"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\iPhone Tunnel Suite\\iTunnel\\iTunnel.exe"="C:\\Programme\\iPhone Tunnel Suite\\iTunnel\\iTunnel.exe:*:Enabled:iTunnel"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\RedCabalOnline\\elitecabal.exe"="C:\\Programme\\RedCabalOnline\\elitecabal.exe:*:Enabled:elitecabal.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :


Finished!

datfindbat:

Zitat

Verzeichnis von c:\

11.10.2008 20:41 0 dirdat.txt
11.10.2008 20:34 804.835.328 hiberfil.sys
11.10.2008 20:34 1.207.959.552 pagefile.sys
11.10.2008 20:10 1.218 avenger.txt
11.10.2008 18:35 15.140 ComboFix.txt
14.09.2008 15:59 293 config.ini
19.08.2008 18:33 0 CONFIG.SYS
19.08.2008 18:33 0 MSDOS.SYS
19.08.2008 18:33 0 AUTOEXEC.BAT
19.08.2008 18:33 0 IO.SYS
19.08.2008 18:26 211 boot.ini

Verzeichnis von C:\WINDOWS\system32

10.10.2008 21:58 2.206 wpa.dbl
28.09.2008 13:52 34.064 lhacm.acm
22.09.2008 18:48 160.344 FNTCACHE.DAT
18.09.2008 02:41 42.320 xfcodec.dll
14.09.2008 15:18 58.596 perfc009.dat
14.09.2008 15:18 405.118 perfh007.dat
14.09.2008 15:18 392.296 perfh009.dat
14.09.2008 15:18 70.580 perfc007.dat
14.09.2008 15:18 827.488 PerfStringBackup.INI
13.09.2008 22:37 208.276 TZLog.log
06.09.2008 15:09 57.344 QuickTime.qts
06.09.2008 15:09 90.112 QuickTimeVR.qtx
29.08.2008 10:18 87.336 dns-sd.exe
29.08.2008 09:53 61.440 dnssd.dll
19.08.2008 19:25 0 h323log.txt
19.08.2008 19:05 22 ati64hlp.stb
19.08.2008 18:36 261 $winnt$.inf
19.08.2008 18:33 2.951 CONFIG.NT
19.08.2008 18:33 16.832 amcompat.tlb
19.08.2008 18:33 23.392 nscompat.tlb
19.08.2008 18:31 488 WindowsLogon.manifest
19.08.2008 18:31 488 logonui.exe.manifest
19.08.2008 18:31 749 nwc.cpl.manifest
19.08.2008 18:31 749 cdplayer.exe.manifest
19.08.2008 18:31 749 sapi.cpl.manifest
19.08.2008 18:31 749 ncpa.cpl.manifest
19.08.2008 18:31 749 wuaucpl.cpl.manifest
19.08.2008 18:29 21.740 emptyregdb.dat

Verzeichnis von C:\WINDOWS

11.10.2008 20:38 1.681.240 WindowsUpdate.log
11.10.2008 20:34 0 0.log
11.10.2008 20:34 159 wiadebug.log
11.10.2008 20:34 50 wiaservc.log
11.10.2008 20:34 2.048 bootstat.dat
11.10.2008 20:29 95.838 ntbtlog.txt
11.10.2008 20:24 25.136 SchedLgU.Txt
11.10.2008 19:08 4.859 setupapi.log
11.10.2008 18:34 227 system.ini
18.09.2008 19:31 2.022 ModemLog_Nokia 6680 USB Modem #2.txt
02.09.2008 21:44 158 ODBC.INI
19.08.2008 23:59 316.640 WMSysPr9.prx
19.08.2008 19:08 0 Sti_Trace.log
19.08.2008 19:00 0 nsreg.dat
19.08.2008 18:45 92 CMISETUP.INI
19.08.2008 18:45 26 CMCDPLAY.INI
19.08.2008 18:45 0 Wininit.ini
19.08.2008 18:42 1.930 Ascd_tmp.ini
19.08.2008 18:37 8.192 REGLOCS.OLD
19.08.2008 18:33 0 control.ini
19.08.2008 18:33 477 win.ini
19.08.2008 18:33 4.161 ODBCINST.INI
19.08.2008 18:31 749 WindowsShell.Manifest
19.08.2008 18:29 37 vbaddin.ini
19.08.2008 18:29 36 vb.ini

Verzeichnis von C:\DOKUME~1\D@VID\LOKALE~1\Temp

11.10.2008 20:39 0 etilqs_0z9ZxW75Dbmxeo84VCxV
11.10.2008 20:39 65.536 ~DFC6C7.tmp
11.10.2008 20:39 512 ~DFC6D9.tmp
11.10.2008 20:38 512 ~DF1BB2.tmp
11.10.2008 20:38 65.536 ~DF1AA1.tmp

Zitat

EDIT: BITTE NICHT ZWEIGELEISIG POSTEN:
http://www.trojaner-board.de/61801-mal-wieder-ein-your-computer-infected.html

Sorry da hat erst keiner geantwortet und da hab ichs nochma hier probiert :/

#8 «
es sollte wieder alles im grünen Bereich sein

«
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

«
wende Option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
wenn es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#9

Zitat

SmitFraudFix v2.359

Scan done at 21:38:53,09, 11.10.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FBA9B11F-CEC8-4A59-9F8D-81EAB9A72193}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FBA9B11F-CEC8-4A59-9F8D-81EAB9A72193}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FBA9B11F-CEC8-4A59-9F8D-81EAB9A72193}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

edel

fettes Danke an euch alle <3
also kann ich jetz wieder onlinebanking usw. alles ohne bedenken benutzen? ;D

#10 Im Grunde kannst du wieder Onlinebanking machen.

http://virus-protect.org/onlinescan.html
Zur Sicherheit scanne noch Online mit F-secure/Onlinescan , ESET Online Scanner , Trend-Micro/HouseCall
wenn die nix mehr finden - ist wieder alles i.o.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Virustotal
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\drivers\oreans32.sys

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende
__________
MfG Argus

#12 http://www.virustotal.com/de/analisis/47b2d335532a007c444f3a4103262d0b

#13 Happy Surfing
__________
MfG Argus

#14 ya cool bin nochma alle virenscanner durchgegangen... alles clean ^.^

danke danke nice work <3

cya man hört sich^^



Edit: und da bin ich wieder... erstma hallo liebe community

ich weiß nicht ob es an ragezone.com lag oder der zeitpunkt zufall war aber nach betreten eines threads dieses forums deaktiviert sich auf einmal die firewall von selbst und tadaaa schon kommt ne meldung von antivir... TR/Rootkit.Gen ;( schnell firewall wieder angemacht und die sagt auch "Trojan-Spy.Win32.GreenScrenn" ;( echt seltsam wenn man bedenkt das ich weder gezogen hab, noch iwelche verdächtigen seiten betreten hab... soll ich mein rechner gleich plätten oder is das in euren augen schnell zu beheben..?

#15 Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp

Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator"

Damit werden Reste von benutzten Programme wieder entfernt

CleanUP (by stevengould.org)
Anleitung: http://www.virus-protect.org/cleanup.html
Wenn man CleanUp weiter benutzen will das haeckchen bei Delete Prefetch files entfernen!
Starte dein Rechner neu

Scanne mit Ewido Micro(by grisoft.com)

Update MBAM,scanne und poste das Log

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein neuen log von HijackThis
__________
MfG Argus