Spyware, Adware und Trojaner - Um himmelswillen

#1 Guten Abend

Ich bin durch zufall auf einen Link gestoßen der mich zum Pro-Scan-Online weitergeleitet hat (siehe _Entfernt_) nun schwanke ich mit dem Gedanken ob meine Bankdaten und Passwörter noch sicher sind oder nicht schon in irgendwelchen Warez Boards schon public gemacht worden sind.

Ich hoffe auf Antwort.

Grüße Drilon


// Naja, toll dieses Pro-Scan war die Spyware Reingelegt.. wie bekomm ich nun diesen kack wieder weg =/

Zitat

Antivirus 2009: Falscher Virenschutz nutzt ausgefeilte Tricks
Derzeit sind eine ganze Reihe gefälschter Virenschutz-Systeme in Umlauf, die lediglich dazu dienen, ihre Urheber zu bereichern, die den Nutzern aber zudem ein falsches Sicherheitsgefühl vermitteln. Damit die auch noch die "Vollversion" kaufen, wenden die Macher einige Tricks an.


So zeigt Sophos in einem aktuellen Blog-Eintrag, wie Antivirus 2009 bei Aufruf verschiedener Websites reagiert. Wird beispielsweise die Microsoft-Website mit dem Internet Explorer aufgerufen, erscheint nicht etwa die gewünschte Website, sondern eine Warnmeldung, die aufgerufene Seite könne den Computer beschädigen - zusammen mit der Empfehlung, die Vollversion von Antivirus 2009 als Schutzmaßnahme einzusetzen.

Noch tückischer: Bei Aufruf der Google-Startseite erscheint, eingebettet in die Original-Website, die Meldung, Google habe eine nicht-registrierte Version von Antivirus 2009 auf dem Rechner des Besuchers entdeckt und empfehle, die Software zu aktivieren, um den PC vor Web-Bedrohungen zu schützen.

http://www.trojaner-info.de/news2/antivirus-2009-virenschutz.shtml

#2 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Download: Trend Micro Hijack This™
Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator".
__________
MfG Argus

#3 Hallo zusammen,

habe dieses Erlebnis vor ca. 2 Stunden auch gehabt mit dem pro-scan-online als ich eben in meinen Account vom Onlinehaus Auvito gehen wollte. War so schockiert, dass ich mir ein angebliches Würmchen entfernen lies. Als ich aber dann noch für die restlichen 69 befallenen Dateien was herunterladen sollte, haben meine Alarmglocken geklingelt und ich habe zuerst mal mit Ewindo und AnitVir alles durchgescannt, war aber nichts. Die finden aber auch nicht alles. Hoffe ich habe mir nichts eingefangen und das jetzt bei mir auch ist!? Hatte noch einen alten "Hijack This" und es mal gemacht. Kann ich das Logfile einfach so hier hereinkopieren dass mal jemand schauen könnte ob was ist oder sollte sowas lieber nicht öffentlich gezeigt werden???? Kenne mich mit sowas nicht so aus.

Bitte um Antwort!

Liebe Grüße
allalias

#4 Mach ebenfalls was Arnold im obigen Post geschrieben hat.

Gruss Swiss

#5 Hallo,

danke für den Tipp.
Scheint alles clean bei mir.
Habe auch gelesen, dass wenn man es nicht heruntergeladen hat nichts passieren kann. Nochmal Glück gehabt, bin auch immer ein vorsichtiges Mädchen. Beim Update von MBAM mußte ich aber meine Firewall ausschalten, obwohl ich alles freigegeben habe und sogar per Hand die Häckchen für die Freigabe der Programmeinträge gemacht habe.

Vielen Dank!
allalias

#6 MalwareBytes

Zitat

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1410
Windows 5.1.2600 Service Pack 3

18.11.2008 23:41:41
mbam-log-2008-11-18 (23-41-41).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58701
Laufzeit: 13 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\01472068940674551170689099477888 (Rogue.Antivirus) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Drilon\Startmenü\Antivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\scui.cpl (Rogue.XPantivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Drilon\Startmenü\Antivirus 2009\Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Drilon\Startmenü\Antivirus 2009\Uninstall Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsrc.dll (Adware.Toolbar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Drilon\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

Hjackthis

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:44, on 19.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Dokumente und Einstellungen\Drilon\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Drilon\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Drilon\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Drilon\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Drilon\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pennergame.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: a-scripting.de.ms Toolbar - {4059f9db-3179-4a93-8ad2-96bcef8d9f13} - C:\Programme\a-scripting.de.ms\tba-sc.dll
R3 - URLSearchHook: k-cheat.de Toolbar - {21f4ed1d-89c3-4559-b97e-51b90039eed7} - C:\Programme\k-cheat.de\tbk-ch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: k-cheat.de Toolbar - {21f4ed1d-89c3-4559-b97e-51b90039eed7} - C:\Programme\k-cheat.de\tbk-ch.dll
O2 - BHO: a-scripting.de.ms Toolbar - {4059f9db-3179-4a93-8ad2-96bcef8d9f13} - C:\Programme\a-scripting.de.ms\tba-sc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: a-scripting.de.ms Toolbar - {4059f9db-3179-4a93-8ad2-96bcef8d9f13} - C:\Programme\a-scripting.de.ms\tba-sc.dll
O3 - Toolbar: (no name) - {6226BA26-C017-4007-928C-DE9715C6FA67} - (no file)
O3 - Toolbar: k-cheat.de Toolbar - {21f4ed1d-89c3-4559-b97e-51b90039eed7} - C:\Programme\k-cheat.de\tbk-ch.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O24 - Desktop Component 1: K-Cheat - Die Community! - http://www.k-cheat.de/

--
End of file - 7437 bytes

#7 Update MBAM und scanne nochmal

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#8 MalwareBytes:

Zitat

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1412
Windows 5.1.2600 Service Pack 3

19.11.2008 23:28:28
mbam-log-2008-11-19 (23-28-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58520
Laufzeit: 9 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Combofix

Zitat

ComboFix 08-11-18.A2 - Drilon 2008-11-19 23:37:06.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.175 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Drilon\Eigene Dateien\My Downloads\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-19 bis 2008-11-19 ))))))))))))))))))))))))))))))
.

2008-11-19 22:17 . 2008-11-19 22:17 <DIR> d-------- c:\programme\Hijack This
2008-11-19 17:36 . 2008-11-19 17:37 <DIR> d-------- c:\programme\Microsoft Popfly Explorer
2008-11-19 13:14 . 2008-11-19 13:14 268 --ah----- C:\sqmdata05.sqm
2008-11-19 13:14 . 2008-11-19 13:14 244 --ah----- C:\sqmnoopt05.sqm
2008-11-18 22:26 . 2008-11-18 22:31 <DIR> d-------- c:\programme\Trillian
2008-11-17 20:14 . 2008-11-17 20:14 151 --a------ C:\send.php
2008-11-17 20:13 . 2008-11-17 20:15 <DIR> d-------- c:\dokumente und einstellungen\Afrim\Anwendungsdaten\FileZilla
2008-11-17 20:11 . 2008-11-17 20:12 <DIR> d-------- c:\programme\FileZillaPortable
2008-11-16 15:03 . 2008-11-16 15:04 <DIR> d-------- c:\programme\Greasemetal
2008-11-16 14:25 . 2008-11-16 14:25 <DIR> d-------- c:\programme\Microsoft Windows Script
2008-11-15 17:01 . 2008-11-18 14:06 5 --a------ c:\windows\sbacknt.bin
2008-11-15 17:00 . 2008-11-18 23:44 <DIR> d-------- c:\programme\vghd
2008-11-15 17:00 . 2008-11-18 14:06 <DIR> d-------- c:\dokumente und einstellungen\Drilon\Anwendungsdaten\vghd
2008-11-15 17:00 . 2008-11-18 14:02 152,904 --a------ c:\windows\system32\vghd.scr
2008-11-15 16:58 . 2008-11-15 16:58 <DIR> d-------- c:\programme\Active Dancer Strip Saver
2008-11-13 23:49 . 2008-11-13 23:49 <DIR> d-------- c:\dokumente und einstellungen\Drilon\Anwendungsdaten\GlarySoft
2008-11-13 23:31 . 2008-11-13 23:31 <DIR> d-------- c:\programme\Glary Utilities
2008-11-13 23:31 . 2008-11-13 23:31 <DIR> d-------- C:\Mp3 Output
2008-11-13 23:30 . 2008-11-13 23:30 <DIR> d-------- c:\programme\Smallvideosoft
2008-11-13 23:30 . 2007-03-01 04:18 4,762,112 --a------ c:\windows\system32\NCMedia.dll
2008-11-13 23:30 . 2007-02-25 15:36 383,238 --a------ c:\windows\system32\libmp3lame-0.dll
2008-11-12 19:54 . 2008-11-12 20:25 <DIR> d-------- c:\dokumente und einstellungen\Drilon\dwhelper
2008-11-12 19:06 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 19:06 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-11 21:57 . 2008-11-11 21:57 <DIR> d-------- c:\windows\system32\windows media
2008-11-11 21:55 . 2008-11-11 21:55 <DIR> d-------- c:\programme\Windows Media Components
2008-11-11 21:51 . 2008-11-16 11:34 <DIR> d-------- c:\programme\Kellogg's
2008-11-08 19:26 . 2008-11-12 23:17 <DIR> d-------- C:\Program Files
2008-11-08 19:23 . 2005-01-04 10:43 4,682 --a------ c:\windows\system32\npptNT2.sys
2008-11-08 19:22 . 2003-07-20 19:17 5,174 --a------ c:\windows\system32\nppt9x.vxd
2008-11-08 18:25 . 2008-11-08 18:25 <DIR> d-------- c:\programme\GpotatoEu
2008-11-03 17:26 . 2008-11-03 17:26 268 --ah----- C:\sqmdata04.sqm
2008-11-03 17:26 . 2008-11-03 17:26 244 --ah----- C:\sqmnoopt04.sqm
2008-11-02 21:12 . 2008-11-03 06:37 111 --a------ c:\windows\GMouse.ini
2008-11-02 13:53 . 2008-11-02 13:53 <DIR> d-------- C:\GMouse20
2008-11-02 13:53 . 2008-11-02 13:53 <DIR> d-------- c:\dokumente und einstellungen\Drilon\WINDOWS
2008-11-02 13:53 . 1996-01-09 10:38 283,648 --a------ c:\windows\uninst.exe
2008-10-31 21:40 . 2008-10-31 21:40 <DIR> d-------- c:\programme\k-cheat.de
2008-10-31 15:50 . 2008-10-31 15:50 1,386 --a------ c:\dokumente und einstellungen\Drilon\Anwendungsdaten\filterclsid.dat
2008-10-27 15:21 . 2008-10-27 15:21 <DIR> d-------- c:\programme\PartyGaming
2008-10-27 15:18 . 2008-10-27 15:18 <DIR> d-------- c:\dokumente und einstellungen\Afrim\PARTYPokerDir
2008-10-26 13:00 . 2008-10-26 13:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\eSellerate
2008-10-26 13:00 . 2008-10-26 13:00 360,580 --a------ c:\windows\eSellerateEngine.dll
2008-10-26 13:00 . 2008-10-26 13:00 135 --ah----- c:\dokumente und einstellungen\Drilon\Anwendungsdaten\lakerda1967.sys
2008-10-26 12:59 . 2008-10-26 13:00 <DIR> d-------- c:\programme\docXConverter3
2008-10-24 12:46 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-22 16:29 . 2008-10-22 16:29 50,176 --a------ c:\windows\system32\rmoc3260.oca
2008-10-22 16:21 . 2008-10-22 16:21 <DIR> d-------- C:\5bf32580afbe05e423e00965
2008-10-21 16:07 . 2008-10-21 16:07 <DIR> d-------- c:\dokumente und einstellungen\Drilon\Settings
2008-10-21 16:07 . 2008-10-21 16:07 <DIR> d-------- c:\dokumente und einstellungen\Drilon\Plugins
2008-10-20 16:17 . 2008-10-20 16:17 268 --ah----- C:\sqmdata03.sqm
2008-10-20 16:17 . 2008-10-20 16:17 244 --ah----- C:\sqmnoopt03.sqm
2008-10-19 13:17 . 2008-11-19 14:12 <DIR> d-------- c:\programme\MessengerDiscovery

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-18 22:59 --------- d-----w c:\dokumente und einstellungen\Drilon\Anwendungsdaten\FileZilla
2008-11-18 22:26 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-11-16 10:56 --------- d-----w c:\programme\ServerMania
2008-11-13 22:44 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-01 17:33 --------- d-----w c:\programme\WarRock
2008-10-29 20:59 --------- d-----w c:\programme\eRightSoft
2008-10-26 22:57 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 18:21 --------- d-----w c:\programme\Microsoft Silverlight
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-21 15:54 --------- d-----w c:\programme\Shockwave.com
2008-10-19 12:42 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2008-10-18 16:07 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-10-18 16:07 107,832 ----a-w c:\windows\system32\PnkBstrB.exe
2008-10-18 14:59 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-18 14:56 --------- d-----w c:\dokumente und einstellungen\Drilon\Anwendungsdaten\InstallShield
2008-10-17 23:34 --------- d-----w c:\programme\DivX
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-13 22:12 --------- d-----w c:\programme\ANSTOSS 3
2008-10-12 16:10 --------- d-----w c:\dokumente und einstellungen\Drilon\Anwendungsdaten\Hamachi
2008-10-12 15:55 --------- d-----w c:\dokumente und einstellungen\Drilon\Anwendungsdaten\Skype
2008-10-12 15:28 --------- d-----w c:\dokumente und einstellungen\Drilon\Anwendungsdaten\skypePM
2008-10-10 12:29 --------- d-----w c:\programme\rpg2003
2008-10-10 12:29 --------- d-----w c:\programme\Pool Sharks
2008-10-10 12:29 --------- d-----w c:\programme\mobile PhoneTools
2008-10-10 12:29 --------- d-----w c:\programme\LiveUpdate
2008-10-10 12:29 --------- d-----w c:\programme\ICQ6Toolbar
2008-10-10 12:29 --------- d-----w c:\programme\Free Sound Recorder
2008-10-10 11:35 --------- d-----w c:\programme\P2P Transfer
2008-10-09 22:36 --------- d-----w c:\programme\LuckaSoft
2008-10-09 13:00 --------- d-----w c:\programme\Sun
2008-10-09 12:59 --------- d-----w c:\programme\Java
2008-10-07 20:05 --------- d-----w c:\programme\Sony Ericsson
2008-10-01 22:38 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe AIR
2008-10-01 22:33 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-01 18:42 0 ----a-r C:\logwmemory.bin
2008-10-01 18:36 --------- d-----w c:\dokumente und einstellungen\Drilon\Anwendungsdaten\Soldat
2008-10-01 18:23 --------- d-----w c:\programme\Skype
2008-10-01 18:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-10-01 18:22 --------- d-----w c:\programme\Gemeinsame Dateien\Skype
2008-10-01 16:20 --------- d-----w c:\programme\AviSynth 2.5
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-29 20:57 --------- d-----w c:\programme\PantsOff
2008-09-29 12:40 --------- d-----w c:\dokumente und einstellungen\Drilon\Anwendungsdaten\Samsung
2008-09-29 12:31 --------- d-----w c:\programme\Samsung
2008-09-28 21:10 --------- d-----w c:\programme\ICQ6
2008-09-22 15:53 --------- d-----w c:\programme\Project Analyzer Run-Times Uninstall
2008-09-22 15:52 73,216 ----a-w c:\windows\ST6UNST.EXE
2008-09-22 15:52 286,720 ------w c:\windows\Setup1.exe
2008-09-21 20:46 --------- d-----w c:\programme\Sunbelt Software
2008-09-21 20:18 --------- d-----w c:\programme\Web Publish
2008-09-21 11:47 --------- d-----w c:\programme\Mozilla ActiveX Control v1.7.12
2008-09-21 01:59 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\4972B029DF.sys
2008-09-21 01:59 1,056 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-09-21 01:12 --------- d-----w c:\programme\Web Furbish
2008-09-21 00:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-21 00:13 --------- d-----w c:\programme\Microsoft Visual Studio 9.0
2008-09-18 13:00 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-11 16:18 163,840 ----a-w c:\windows\UNINEPSC.EXE
2008-09-11 12:34 4,608 ----a-w c:\windows\system32\bbchlp.dll
2008-09-11 12:34 30,720 ----a-w c:\windows\system32\bbcap.dll
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-05 22:54 2,803,812 ----a-w c:\programme\teamspeak
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-20 05:08 671,744 ----a-w c:\windows\system32\wininet.dll
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4059f9db-3179-4a93-8ad2-96bcef8d9f13}"= "c:\programme\a-scripting.de.ms\tba-sc.dll" [2008-07-27 1606680]
"{21f4ed1d-89c3-4559-b97e-51b90039eed7}"= "c:\programme\k-cheat.de\tbk-ch.dll" [2008-09-15 1784856]

[HKEY_CLASSES_ROOT\clsid\{4059f9db-3179-4a93-8ad2-96bcef8d9f13}]

[HKEY_CLASSES_ROOT\clsid\{21f4ed1d-89c3-4559-b97e-51b90039eed7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21f4ed1d-89c3-4559-b97e-51b90039eed7}]
2008-09-15 06:47 1784856 --a------ c:\programme\k-cheat.de\tbk-ch.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4059f9db-3179-4a93-8ad2-96bcef8d9f13}]
2008-07-27 20:11 1606680 --a------ c:\programme\a-scripting.de.ms\tba-sc.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4059f9db-3179-4a93-8ad2-96bcef8d9f13}"= "c:\programme\a-scripting.de.ms\tba-sc.dll" [2008-07-27 1606680]
"{21f4ed1d-89c3-4559-b97e-51b90039eed7}"= "c:\programme\k-cheat.de\tbk-ch.dll" [2008-09-15 1784856]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{4059F9DB-3179-4A93-8AD2-96BCEF8D9F13}"= "c:\programme\a-scripting.de.ms\tba-sc.dll" [2008-07-27 1606680]
"{21F4ED1D-89C3-4559-B97E-51B90039EED7}"= "c:\programme\k-cheat.de\tbk-ch.dll" [2008-09-15 1784856]

[HKEY_CLASSES_ROOT\clsid\{4059f9db-3179-4a93-8ad2-96bcef8d9f13}]

[HKEY_CLASSES_ROOT\clsid\{21f4ed1d-89c3-4559-b97e-51b90039eed7}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2004-02-12 188416]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-09-18 144792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SMSERIAL"="sm56hlpr.exe" [2004-12-29 c:\windows\sm56hlpr.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-20 c:\windows\soundman.exe]
"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-11-01 c:\windows\system32\VTTrayp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.enc"= ITIG726.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
--a----t- 2008-09-02 20:08 133104 c:\dokumente und einstellungen\Drilon\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KeePass Password Safe]
--a------ 2008-04-12 09:39 743424 c:\programme\KeePass Password Safe\KeePass.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2004-02-12 15:59 77824 c:\programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-07-17 20:22 1271032 c:\programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhatPulse]
--a------ 2006-08-21 18:48 665600 c:\programme\WhatPulse\WhatPulse.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Steam\\steamapps\\deejaytrixx\\counter-strike\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\deejaytrixx\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\deejaytrixx\\condition zero\\hl.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Steam\\steamapps\\deejaytrixx\\day of defeat\\hl.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"=
"c:\\Programme\\Steam\\steamapps\\deejaytrixx\\dedicated server\\hltv.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Dokumente und Einstellungen\\Drilon\\Eigene Dateien\\My Downloads\\Visual Basic\\TCP Chat Server\\TCP Chat Server\\bin\\Debug\\TCP Chat Server.vshost.exe"=
"c:\\Dokumente und Einstellungen\\Drilon\\Eigene Dateien\\My Downloads\\TeamViewerPortable4804_de\\TeamViewer.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Drilon\\Desktop\\Programme\\TM Server\\TrackmaniaServer.exe"=
"c:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"=
"c:\\Programme\\Microsoft Visual Studio\\VB98\\VB6.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7777:TCP"= 7777:TCP:Gta Host Port
"27015:TCP"= 27015:TCP:27015
"7777:UDP"= 7777:UDP:CS Strike

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-09-21 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-07-23 222456]
R2 SbPF.Launcher;SbPF.Launcher;"c:\programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe" [2008-07-01 95528]
R2 SPF4;Sunbelt Personal Firewall 4;"c:\programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe" [2008-07-01 1357096]
R3 bbcap;bbcap;c:\windows\system32\DRIVERS\bbcap.sys [2008-09-11 4096]
R3 EKBfltr;ENE Keyboard Controller;c:\windows\system32\DRIVERS\EKBfltr.sys [2008-07-16 5504]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2008-09-21 65576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51087c43-4dfa-11dd-872d-00c0a8c721de}]
\Shell\Auto\command - activexdebugger32.exe f
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe e
\Shell\explore\Command - activexdebugger32.exe f
\Shell\open\Command - activexdebugger32.exe f
.
Inhalt des "geplante Tasks" Ordners

2008-11-19 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2008-10-29 17:58]

2008-11-19 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\dokumente und einstellungen\Afrim\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-15 19:46]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{6226BA26-C017-4007-928C-DE9715C6FA67} - (no file)
WebBrowser-{6226BA26-C017-4007-928C-DE9715C6FA67} - (no file)
MSConfigStartUp-ieupdate - c:\windows\system32\explorer32.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Drilon\Anwendungsdaten\Mozilla\Firefox\Profiles\320v9hue.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.Google.de
FF -: plugin - c:\dokumente und einstellungen\Drilon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 23:44:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-19 23:53:29
ComboFix-quarantined-files.txt 2008-11-19 22:53:22

Vor Suchlauf: 1,514,958,848 Bytes frei
Nach Suchlauf: 1,714,683,904 Bytes frei

279 --- E O F --- 2008-11-12 22:27:44

#9 cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\activexdebugger32.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51087c43-4dfa-11dd-872d-00c0a8c721de}]

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach Neustart das neue Log
__________
MfG Argus

#10 Noch zu deine Information,es wurde ein Infizierter USB-stick,MP3 player oder Camera benutzt

Zitat

activexdebugger32.exe

Wenn dieser Dateträger wieder angeschlossen wird,wird dein Rechner auch wieder Infiziert
Info: http://virus-protect.org/artikel/spyware/activexdebugger32.html
__________
MfG Argus

#11 Hallo und guten Tag,

sende zur Sicherheit doch mal meine beiden Logfiles.
Für mich sind das nämlich nur bömische Dörfer.

____________________________________________________

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1410
Windows 5.1.2600 Service Pack 1

19.11.2008 17:08:59
mbam-log-2008-11-19 (17-08-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 144246
Laufzeit: 1 hour(s), 58 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

_______________________________________________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:40:50, on 20.11.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\SSC Service Utility\ssc_serv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\fast.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: CD-MENU.LNK = F:\MENU.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Überwachung aktivieren.lnk = C:\Programme\YAW 3.5\yawguard.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Programme\sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8308 bytes

_________________________________________

Grüße allalias

#12 Das mit CFScript funktioniert nicht so, muss denn in die Textdatei was rein?
Außerdem, kannst du mir vielleicht sagen wie der Laufwerkbuchstabe von dem UsbStick heißt der infiziert sein soll?

Denn ich habe außer meiner Maus nichts angeschlossen (vlt. war mein Handy angeschlossen, aber da sind nur Lieder und paar Textdateien drauf).

// Ach ich habs kapiert mit dem CFScript..

#13 Ist der USB-Anschluss am rechner,kommt da noch ein Log von Combofix?
__________
MfG Argus

#14 Ich habe nun die CFScript.txt mit Inhalt

Zitat

File::
C:\WINDOWS\system32\activexdebugger32.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51087c43-4dfa-11dd-872d-00c0a8c721de}]

durchsucht, dann kam SDE (oder so) mit ner Fehlermeldung, can't find directory.

#15 Ich werde übernehmen nach Rücksprache mit Arnold.
Schritt für Schritt:

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

KILLALL::

File::
C:\WINDOWS\system32\activexdebugger32.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51087c43-4dfa-11dd-872d-00c0a8c721de}]

2. Nun packst du diese txt Datei mit der rechten Maustaste (nicht klicken) und ziehst es auf das Combofixsymbol auf dem Dektop, dann loslassen

Dannach combofix nochmals anwenden.

Gruss Swiss