Warnung von kaspersky:trojaner

#0
29.11.2008, 15:49
Member

Beiträge: 25
#1 hey leute,
ich bräuchte mal eure hilfe, habe mir gestern glaube ich einen trojaner eingefangen...
im internet werden ständig werbefenster aufgemacht und ich kann automatische updates nicht aktivieren.
gestern baned kam die meldung vom kaspersky, das ein trojaner entdeckt wurde...ich habe löschen angeklickt und heute sowas....
habe hijackthis drüber laufen lassen hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:45:54, on 29.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hercules\Hercules Blog Webcam\CamService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\familie\Desktop\system programme\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HerculesCamService] C:\Programme\Hercules\Hercules Blog Webcam\CamService.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Need for Speed™ Undercover Registration.lnk = C:\Programme\EA Games\Need for Speed Undercover\Support\EAregister.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik fur Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C5A6C50-903F-4B20-B49A-CD1C800C9C92}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll ijdija.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: FAH@C:+Dokumente und Einstellungen+familie+Eigene Dateien+Azureus Downloads+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+FAH.exe - Unknown owner - C:\Dokumente und Einstellungen\familie\Eigene Dateien\Azureus Downloads\DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING\DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING\FAH.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

hoffe mir kann geholfen werden
Lg
Seitenanfang Seitenende
29.11.2008, 16:54
Moderator

Beiträge: 7805
#2 Hallo dksb,

reiche bitte die Punkte 2-4 aus http://board.protecus.de/t23188.htm nach.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.11.2008, 16:17
Member

Themenstarter

Beiträge: 25
#3 danke für die schnelle antwort...hier die schritte 2-4

ComboFix 08-11-29.03 - familie 2008-11-30 16:06:23.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1581 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\familie\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\ijdija.dll
c:\windows\system32\juujfivf.dll
c:\windows\system32\jykyru.dll
c:\windows\system32\tqooshwe.ini
c:\windows\system32\tuvTnLdd.dll
c:\windows\system32\vebovcmq.dll
c:\windows\Tasks\nghgwrrq.job
c:\windows\Temp\tmp3.tmp

----- BITS: Eventuell infizierte Webseiten -----

hxxp://childhe.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-30 15:48 . 2008-11-30 15:48 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-30 15:48 . 2008-11-30 15:48 <DIR> d-------- c:\dokumente und einstellungen\familie\Anwendungsdaten\Malwarebytes
2008-11-30 15:48 . 2008-11-30 15:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-30 15:48 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-30 15:48 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-28 21:30 . 2008-11-28 21:30 <DIR> d-------- c:\programme\EA Games
2008-11-26 14:42 . 2008-11-26 14:44 <DIR> d-------- c:\programme\Security Task Manager
2008-11-26 14:42 . 2008-11-27 16:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-11-26 14:29 . 2008-11-26 14:29 <DIR> d-------- c:\programme\Uniblue
2008-11-26 14:29 . 2008-11-26 14:29 <DIR> d-------- c:\dokumente und einstellungen\familie\Anwendungsdaten\Uniblue
2008-11-26 14:29 . 2008-11-26 14:29 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2008-11-25 13:20 . 2008-11-25 13:20 <DIR> d-------- c:\programme\Lavasoft
2008-11-25 13:20 . 2008-11-25 13:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-19 10:46 . 2008-11-19 10:46 <DIR> d-------- c:\programme\gs
2008-11-19 10:46 . 2008-11-19 10:46 <DIR> d-------- c:\programme\FreePDF_XP
2008-11-19 10:46 . 2008-11-26 16:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\FreePDF
2008-11-19 10:46 . 2008-02-25 22:23 119,152 --a------ c:\windows\system32\redmon.hlp
2008-11-19 10:46 . 2008-02-25 22:23 116,224 --a------ c:\windows\system32\redmonnt.dll
2008-11-19 10:46 . 2008-02-25 22:23 45,056 --a------ c:\windows\system32\unredmon.exe
2008-11-19 10:46 . 2008-11-19 10:46 43 --a------ c:\windows\gswin32.ini
2008-11-18 14:14 . 2008-11-18 14:17 <DIR> d--h----- c:\programme\Zero G Registry
2008-11-18 14:14 . 2008-11-18 14:14 <DIR> d--h----- c:\dokumente und einstellungen\familie\InstallAnywhere
2008-11-12 17:30 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 17:29 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-11 13:42 . 2008-11-11 13:42 <DIR> d-------- c:\programme\MoRUN.net
2008-11-11 13:18 . 2008-11-11 13:18 0 --a------ c:\windows\ynh.dx
2008-11-02 16:22 . 2008-11-02 16:22 <DIR> d-------- c:\programme\R
2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- c:\windows\uninstall\Patiencen 2.0
2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- c:\windows\uninstall
2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- c:\programme\Spiele
2008-10-29 19:02 . 2008-10-29 19:02 <DIR> d-------- C:\Patiencen Suite 2008
2008-10-24 14:47 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-21 14:20 . 2008-10-21 14:20 <DIR> d-------- c:\windows\system32\de-de
2008-10-21 14:20 . 2008-10-21 14:20 <DIR> d-------- c:\windows\system32\de
2008-10-21 14:20 . 2008-10-21 14:20 <DIR> d-------- c:\windows\system32\bits
2008-10-21 14:17 . 2008-10-21 14:17 <DIR> d-------- c:\windows\ServicePackFiles
2008-10-21 14:05 . 2008-10-21 14:05 <DIR> d-------- c:\windows\EHome
2008-10-21 08:52 . 2004-08-03 23:38 701,952 --------- c:\windows\system32\drivers\ati2mtag.sys
2008-10-16 09:08 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-16 09:08 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-16 09:08 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-16 09:08 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-16 09:08 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-16 09:08 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-08 10:56 . 2008-10-08 10:56 <DIR> d-------- C:\Logs
2008-10-07 19:04 . 2008-10-17 19:56 <DIR> d-------- c:\programme\World of Warcraft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 15:10 1,306,144 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-30 15:09 123,452 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-30 15:09 108,887,328 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-30 15:09 1,456,652 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-30 15:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-11-28 20:38 --------- d-----w c:\dokumente und einstellungen\familie\Anwendungsdaten\Azureus
2008-11-28 18:07 --------- d-----w c:\programme\eMule
2008-11-28 14:54 --------- d-----w c:\dokumente und einstellungen\familie\Anwendungsdaten\Skype
2008-11-26 13:54 --------- d-----w c:\dokumente und einstellungen\familie\Anwendungsdaten\OpenOffice.org2
2008-11-25 12:20 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-24 13:08 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-24 10:07 --------- d-----w c:\programme\ICQ6
2008-11-23 19:17 --------- d-----w c:\programme\Azureus
2008-11-16 17:59 --------- d-----w c:\programme\PokerStars
2008-10-24 13:27 --------- d-----w c:\programme\HP
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-08 09:38 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-07 16:56 1,440 ----a-w c:\dokumente und einstellungen\familie\Anwendungsdaten\filterclsid.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HerculesCamService"="c:\programme\Hercules\Hercules Blog Webcam\CamService.exe" [2006-10-04 106496]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-26 218376]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 c:\windows\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\familie\Startmen\Programme\Autostart\
Need for SpeedT Undercover Registration.lnk - c:\programme\EA Games\Need for Speed Undercover\Support\EAregister.exe [2008-10-22 4369408]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^familie^Startmenü^Programme^Autostart^Need for Speed™ Undercover Registration.lnk]
path=c:\dokumente und einstellungen\familie\Startmenü\Programme\Autostart\Need for Speed™ Undercover Registration.lnk
backup=c:\windows\pss\Need for Speed™ Undercover Registration.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-07-17 13:20 490952 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2009]
--a------ 2008-08-26 17:48 2019624 c:\programme\Uniblue\RegistryBooster\RegistryBooster.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"HerculesCamService"=c:\programme\Hercules\Hercules Blog Webcam\CamService.exe
"ooccctrl.exe"=c:\programme\OO Software\CleverCache\ooccctrl.exe /tasktray

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\familie\Anwendungsdaten\Mozilla\Firefox\Profiles\4zv68zyx.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 16:10:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
"ServiceDll"="c:\windows\system32\es.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FAH@C:+Dokumente und Einstellungen+familie+Eigene Dateien+Azureus Downloads+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+DarkCoder - NEED FOR SPEED UNDERCOVER CRACK - TESTED 100% WORKING+FAH.exe]
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'lsass.exe'(960)
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\oodag.exe
c:\programme\OO Software\CleverCache\ooccag.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\MICROS~3\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-30 16:14:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-30 15:12:45

Vor Suchlauf: 22 Verzeichnis(se), 18.641.444.864 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 18,575,917,056 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

231 --- E O F --- 2008-10-24 14:06:24



und nochmal das log von malwarebytes:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1437
Windows 5.1.2600 Service Pack 3

30.11.2008 16:00:13
mbam-log-2008-11-30 (16-00-13).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49206
Laufzeit: 1 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 24
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\fccdaxwx.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ijppjpuq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\tuvwUMDV.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ttjvkxcm.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvwumdv (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{df81e70f-1547-4568-8389-aa83334abac7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df81e70f-1547-4568-8389-aa83334abac7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffc2c35c-591b-4757-9130-924869a96572} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ffc2c35c-591b-4757-9130-924869a96572} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ffc2c35c-591b-4757-9130-924869a96572} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9422627b (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fccdaxwx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fccdaxwx -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tuvwUMDV.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qlojww.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fccdaxwx.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\xwxadccf.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xwxadccf.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ijppjpuq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qupjppji.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mebiqbyv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vybqibem.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ttjvkxcm.dll (Trojan.Vundo.H) -> Delete on reboot.
Seitenanfang Seitenende
30.11.2008, 17:53
Moderator

Beiträge: 7805
#4 Das sieht doch "rund" aus.

Hake in Hijackthis den

O23 - Service: FAH@

Eintrag an und druecke fix checked...


Ist sonst noch irgendwas, was dir auffaellt?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.11.2008, 18:34
Member

Themenstarter

Beiträge: 25
#5 also soweit scheint alles in ordnung...ich danke dir vielmals!!!
Lg[/img]
Seitenanfang Seitenende
30.11.2008, 18:38
Moderator

Beiträge: 7805
#6 Nutze bitte nocheinmal www.windowsupdate.com und installiere dir dort alle wichtigen Updates, die dir dort angeboten werden.

Achso, ein update auf KAV 2009 waere auch ratsam, sofern du KAV als kaufversion und nicht als trial einsetzt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.12.2008, 14:11
Member

Themenstarter

Beiträge: 25
#7 hmmm...hatte gestern schon wieder eine warnung von kaspersky wegen adaware und trojanem programm Trojan.Win32.Pakes.jzu obwohl ich nichts neues runtergeladen oder instaliert habe....hast du eine idee was ich noch machen könnte, oder woher das kommt?!
Lg
Seitenanfang Seitenende
01.12.2008, 15:27
Moderator

Beiträge: 7805
#8 Das kommt darauf an, wo die Datei gefunden wurde.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.12.2008, 17:24
Member

Themenstarter

Beiträge: 25
#9 langsam bin ich am verzweifeln kaspersly gibt einmal stündlich ne warnung...habe rootkit suche mit kaspersky laufen lassen und er hat prompt 5 verschiedene trojaner oder was auch immer gefunden hat diese auch desinfiziert aber die meldungen kommen immer wieder

Infiziert: trojanisches Programm Trojan.Win32.Monder.aane c:\qoobox\quarantine\c\windows\system32\tuvtnldd.dll.vir 64 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.aamx C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP542\A0058358.dll 69,5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monderb.xfk C:\WINDOWS\system32\awtuspmm.dll 37,5 KB
Infiziert: trojanisches Programm Trojan-Downloader.Win32.Small.aggp c:\windows\system32\paso.el 17,6 KB
Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP543\A0058388.dll 104 KB
Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP543\A0058389.dll 104 KB
Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\ijdija.dll.vir 104 KB
Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\vebovcmq.dll.vir 104 KB
Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\jykyru.dll.vir 104 KB
Infiziert: trojanisches Programm Trojan-Downloader.Win32.Small.aggp C:\System Volume Information\_restore{AAE60ED9-D370-43A6-8C22-473334CFFD26}\RP542\A0057391.el 17,6 KB
Infiziert: Adware not-a-virus:AdWare.Win32.SuperJuan.ewq c:\qoobox\quarantine\c\windows\system32\juujfivf.dll.vir 104 KB
Infiziert: trojanisches Programm Trojan.JS.Agent.dx C:\PROGRA~1\MOZILL~1\chrome\chrome\content\browser.js 3,6 KB



kannst du mir da weiter helfen?!
LG
Seitenanfang Seitenende
02.12.2008, 02:28
Moderator

Beiträge: 5694
#10 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Stelle Antivir so ein wie hier beschrieben und scanne und poste das Log:
http://board.protecus.de/t23979.htm
(Dannach die Heuristik wieder auf mittel stellen)

Gruss Swiss
Seitenanfang Seitenende