Trojaner erfolgreich im System eingedrungen?

#0
14.12.2008, 11:34
Member

Beiträge: 11
#1 Moin,

ich hatte für einen Monat einen Rapidshare Account gekauft um einige Dateien für eine Präsentation hochzuladen.
Natürlich bekam ich von Rapidshare auch eine Bestätigungsmail, in der mein Benutzername und Kennwort gespeichert waren.

Heute, als ich mich in Rapidshare einloggen wollte, wurde mein Benutzername und Kennwort abgewiesen. Als ich den Benutzernamen genauer beobachtete fiel mir auf, dass es nicht meiner ist sonder irgendeins war!
Also ging ich auf meinen Email-Account zum Posteingang und suchte nach der Bestätigungsmail, aber fand keine mehr!?

Jetzt meine Frage:
Kann es sein, dass ich ein Trojaner auf meinen System habe?
Im abgesichterten Modus habe ich mithilfe von Malware Bytes u. Antivir alle Trojaner gelöscht, die gefunden wurden. Danach habe ich mir Keyscrambler heruntergeladen und dann mein Zugangspasswort für meine Email-Account geändert. Ist der noch brauchbar?

Ich sehe mich jetzt auch konfrontiert mein System neu zu formatieren, ich würde aber gerne noch einige Dateien sichern oder sind diese auch in irgend einer Hinsicht auch infiziert?

Danke schon im voraus!
Seitenanfang Seitenende
14.12.2008, 13:23
Moderator

Beiträge: 7805
#2 Arbeite bitte die Punkte 2-5 von http://board.protecus.de/t23188.htm ab.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.12.2008, 14:13
Member

Themenstarter

Beiträge: 11
#3 So habe die Punkte abgearbeitet

- 2 - Temporäre Dateien beseitigen ( Gemacht )

- 3 - Scan mit Malwarebytes ( Gemacht ) [Farbe Rot]

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1488
Windows 5.1.2600 Service Pack 3

14.12.2008 14:00:32
mbam-log-2008-12-14 (10-33-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 60034
Laufzeit: 4 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS.0\system32\drivers\etc\services (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.





- 4 - Combofix ( Gemacht ) [Farbe Grün]

ComboFix 08-12-13.03 - Milad 2008-12-14 13:55:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.3070.2512 [GMT 1:00]
ausgeführt von:: c:\downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\inst.exe
d:\programme\update.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-14 bis 2008-12-14 ))))))))))))))))))))))))))))))
.

2008-12-14 11:37 . 2008-12-14 11:37 <DIR> d-------- d:\windows.0\LastGood
2008-12-14 11:37 . 2008-04-14 00:15 15,104 --a------ d:\windows.0\system32\drivers\usbscan.sys
2008-12-14 11:37 . 2008-04-14 00:15 15,104 --a------ d:\windows.0\system32\dllcache\usbscan.sys
2008-12-14 10:55 . 2008-12-14 10:56 <DIR> d-------- d:\programme\KeyScrambler
2008-12-14 10:55 . 2008-06-24 18:45 113,896 --a------ d:\windows.0\system32\drivers\keyscrambler.sys
2008-12-13 17:23 . 2008-12-13 17:23 202,648 --a------ d:\windows.0\system32\PnkBstrB.exe
2008-12-13 17:23 . 2008-12-13 17:23 138,408 --a------ d:\windows.0\system32\drivers\PnkBstrK.sys
2008-12-13 14:22 . 2008-12-13 14:22 <DIR> d-------- d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\DAEMON Tools Pro
2008-12-13 14:21 . 2008-12-13 14:21 <DIR> d-------- d:\programme\DAEMON Tools Lite
2008-12-13 14:21 . 2008-12-13 14:21 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Lite
2008-12-13 14:18 . 2008-12-13 14:18 <DIR> d-------- d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\DAEMON Tools Lite
2008-12-13 14:18 . 2008-12-13 14:18 717,296 --a------ d:\windows.0\system32\drivers\sptd.sys
2008-12-13 14:14 . 2008-12-13 14:14 8 --a------ d:\windows.0\system32\nvModes.dat
2008-12-13 14:13 . 2008-12-13 14:13 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\nView_Profiles
2008-12-13 14:12 . 2008-12-13 14:12 <DIR> d-------- d:\windows.0\system32\xircom
2008-12-13 14:12 . 2008-12-13 14:12 <DIR> d-------- d:\programme\microsoft frontpage
2008-12-13 14:04 . 2008-12-13 14:06 <DIR> d-------- d:\windows.0\ServicePackFiles
2008-12-13 12:57 . 2008-12-13 12:57 <DIR> d-------- d:\windows.0\system32\xlive
2008-12-13 12:57 . 2008-12-13 12:57 <DIR> d-------- d:\programme\Microsoft Games for Windows - LIVE
2008-12-12 15:08 . 2008-12-12 15:09 <DIR> d-------- d:\programme\Free YouTube to Mp3 Converter
2008-12-12 15:00 . 2008-12-12 15:10 <DIR> d-------- D:\DVDVideoSoft
2008-12-11 11:40 . 2008-12-11 11:40 <DIR> d-------- d:\programme\Malwarebytes' Anti-Malware
2008-12-11 11:40 . 2008-12-11 11:40 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2008-12-11 11:40 . 2008-12-03 19:52 38,496 --a------ d:\windows.0\system32\drivers\mbamswissarmy.sys
2008-12-11 11:40 . 2008-12-03 19:52 15,504 --a------ d:\windows.0\system32\drivers\mbam.sys
2008-12-10 22:11 . 2008-12-10 22:12 <DIR> d-------- d:\programme\Star ASF Converter
2008-12-10 22:11 . 2008-12-11 11:54 67 --a------ d:\windows.0\Star ASF Converter.INI
2008-12-10 19:50 . 2008-12-10 19:50 <DIR> d-------- d:\programme\vixy.net
2008-12-10 19:10 . 2008-12-10 22:25 69 --a------ d:\windows.0\NeroDigital.ini
2008-12-10 18:41 . 2008-12-10 18:41 <DIR> d-------- d:\programme\DivX
2008-12-10 17:47 . 2008-12-10 17:47 <DIR> d-------- d:\programme\XP Codec Pack
2008-12-10 17:47 . 2008-07-09 10:05 421,888 --a------ d:\windows.0\system32\ac3filter.acm
2008-12-10 14:53 . 2008-12-13 23:29 <DIR> d-------- d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Free Download Manager
2008-12-10 14:53 . 2008-12-10 14:53 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\FreeDownloadManager.ORG
2008-12-10 14:41 . 2008-12-10 14:43 19,554 --a------ d:\windows.0\hpoins01.dat
2008-12-10 14:41 . 2003-04-22 14:10 16,606 --------- d:\windows.0\hpomdl01.dat
2008-12-10 14:22 . 2008-12-10 14:22 13,941 --a------ D:\test.jpg
2008-12-09 22:29 . 2008-12-09 22:29 <DIR> d-------- d:\programme\Windows Sidebar
2008-12-09 22:22 . 2008-12-09 22:30 <DIR> d-------- d:\programme\Nero
2008-12-09 22:22 . 2008-12-09 22:26 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Nero
2008-12-09 21:42 . 2008-12-09 21:42 <DIR> d-------- d:\windows.0\SHELLNEW
2008-12-09 21:41 . 2008-12-09 21:45 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Microsoft Help
2008-12-09 20:54 . 2008-12-09 20:54 25,280 --a------ d:\windows.0\system32\drivers\hamachi.sys
2008-12-09 20:48 . 2008-12-13 14:33 107,888 --a------ d:\windows.0\system32\CmdLineExt.dll
2008-12-09 20:46 . 2008-12-09 20:46 <DIR> d-------- d:\windows.0\system32\LogFiles
2008-12-09 20:46 . 2008-12-09 20:46 66,872 --a------ d:\windows.0\system32\PnkBstrA.exe
2008-12-09 20:42 . 2008-12-09 20:42 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Ubisoft
2008-12-09 20:35 . 2008-10-10 04:52 4,379,984 --a------ d:\windows.0\system32\D3DX9_40.dll
2008-12-09 20:35 . 2008-10-10 04:52 2,036,576 --a------ d:\windows.0\system32\D3DCompiler_40.dll
2008-12-09 20:35 . 2008-10-27 10:04 514,384 --a------ d:\windows.0\system32\XAudio2_3.dll
2008-12-09 20:35 . 2008-10-10 04:52 452,440 --a------ d:\windows.0\system32\d3dx10_40.dll
2008-12-09 20:35 . 2008-10-27 10:04 235,856 --a------ d:\windows.0\system32\xactengine3_3.dll
2008-12-09 20:35 . 2008-10-27 10:04 70,992 --a------ d:\windows.0\system32\XAPOFX1_2.dll
2008-12-09 20:26 . 2008-12-09 20:31 <DIR> d-------- d:\programme\WindowBlind
2008-12-09 20:26 . 2008-12-09 20:26 <DIR> d-------- d:\programme\Stardock
2008-12-09 19:59 . 2008-12-09 19:59 0 --------- d:\windows.0\WB.ini
2008-12-09 19:54 . 2008-12-09 20:12 <DIR> d-------- d:\programme\IconPackager
2008-12-09 19:54 . 2008-12-09 19:54 <DIR> d--h-c--- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\{96F5B506-0F68-4EDB-AD12-CF915081579C}
2008-12-09 19:25 . 2008-12-09 19:25 <DIR> d-------- d:\programme\iPod
2008-12-09 19:25 . 2008-04-17 13:12 107,368 --a------ d:\windows.0\system32\GEARAspi.dll
2008-12-09 19:25 . 2008-04-17 13:12 15,464 --a------ d:\windows.0\system32\drivers\GEARAspiWDM.sys
2008-12-09 19:24 . 2008-12-09 19:25 <DIR> d-------- d:\programme\iTunes
2008-12-09 19:24 . 2008-12-09 19:25 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-09 19:22 . 2008-12-09 20:36 <DIR> d-------- d:\programme\WindowBlinds
2008-12-09 19:22 . 2008-04-26 16:14 42,672 --------- d:\windows.0\system32\wbsys.dll
2008-12-09 19:15 . 2008-12-09 19:15 <DIR> d-------- d:\windows.0\system32\AGEIA
2008-12-09 19:15 . 2008-12-09 19:15 <DIR> d-------- d:\windows.0\nview
2008-12-09 19:15 . 2008-12-09 19:15 <DIR> d-------- d:\programme\AGEIA Technologies
2008-12-09 19:15 . 2008-11-12 13:45 453,152 --a------ d:\windows.0\system32\NVUNINST.EXE
2008-12-09 19:15 . 2008-11-12 14:54 453,152 --a------ d:\windows.0\system32\nvudisp.exe
2008-12-09 19:15 . 2008-12-14 11:20 203,188 --a------ d:\windows.0\system32\nvapps.xml
2008-12-09 19:15 . 2008-11-12 14:54 18,537 --a------ d:\windows.0\system32\nvdisp.nvu
2008-12-09 19:13 . 2008-12-09 19:14 <DIR> d-------- d:\programme\QuickTime
2008-12-09 19:13 . 2008-12-09 19:13 <DIR> d-------- d:\programme\Apple Software Update
2008-12-09 19:13 . 2008-12-09 19:24 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Apple Computer
2008-12-09 19:13 . 2008-12-09 19:13 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Apple
2008-12-09 19:12 . 2008-12-09 19:12 <DIR> d-------- d:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira
2008-12-09 19:08 . 2008-12-09 19:08 <DIR> d-------- d:\programme\MSECache
2008-12-09 19:07 . 2008-12-09 19:07 <DIR> d-------- d:\programme\Project64 1.6
2008-12-09 19:04 . 2008-12-09 19:04 552 --a------ d:\windows.0\system32\d3d8caps.dat
2008-12-09 19:03 . 2006-12-03 17:15 111,104 --a------ d:\windows.0\system32\uharc.exe
2008-12-09 19:03 . 2004-09-03 23:43 199 --a------ d:\windows.0\system32\paypal.url
2008-12-09 19:03 . 2006-05-26 22:54 83 --a------ d:\windows.0\system32\winx.url
2008-11-25 12:06 . 2008-11-25 12:09 <DIR> d-------- d:\dokumente und einstellungen\Milad\preview

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-14 09:11 --------- d--h--w d:\programme\InstallShield Installation Information
2008-12-13 22:20 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Hamachi
2008-12-13 13:22 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\DAEMON Tools
2008-12-12 14:08 --------- d-----w d:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-12-10 18:09 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Nero
2008-12-09 21:36 --------- d-----w d:\programme\Gemeinsame Dateien\Nero
2008-12-09 18:34 --------- d-----w d:\programme\Gemeinsame Dateien\Adobe
2008-12-09 18:15 --------- d-----w d:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-09 18:13 --------- d-----w d:\programme\Gemeinsame Dateien\Apple
2008-12-09 17:49 16,376 ----a-w d:\windows.0\gdrv.sys
2008-12-09 17:47 315,392 ----a-w d:\windows.0\HideWin.exe
2008-12-09 17:17 --------- d-----w d:\programme\Gemeinsame Dateien\Dienste
2008-12-09 17:15 --------- d-----w d:\programme\Windows Media Connect 2
2008-12-07 16:25 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\L4dOgerLauncher
2008-12-07 10:33 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\HLSW
2008-12-06 14:11 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Malwarebytes
2008-12-06 09:53 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Thinstall
2008-11-29 10:29 --------- d-----w d:\programme\Schroedel
2008-11-29 10:24 --------- d-----w d:\programme\Linder BIOLOGIE Evolution
2008-11-25 10:39 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Hypercosm
2008-11-17 14:03 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\teamspeak2
2008-11-15 15:10 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\LimeWire
2008-11-12 14:30 22,328 ----a-w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\PnkBstrK.sys
2008-11-05 10:31 --------- d-----w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Red Alert 3
2008-10-27 09:04 23,376 ----a-w d:\windows.0\system32\X3DAudio1_5.dll
2008-10-22 11:17 --------- d-----w d:\programme\Windows Live
2008-10-22 04:29 14,303,392 ----a-w d:\windows.0\system32\xlive.dll
2008-10-22 04:29 13,643,936 ----a-w d:\windows.0\system32\xlivefnt.dll
2008-10-13 08:56 70,936 ----a-w d:\windows.0\system32\PhysXLoader.dll
2008-03-18 14:37 94,208 ----a-w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\ezplay.sys
2008-03-18 14:37 47,360 ----a-w d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\pcouffin.sys
2008-02-14 13:28 29 ----a-w d:\programme\version.ini
2008-02-14 13:23 231,944 ----a-w d:\programme\gwflash.exe
2007-09-21 18:42 19,008 ----a-w d:\programme\markfun.a64
2007-08-21 18:49 17,912 ----a-w d:\programme\markfun.w32
2007-08-21 18:49 125,504 ----a-w d:\programme\MarkFunDrv.dll
2007-04-04 17:35 207,680 ----a-w d:\programme\updateutility.exe
2007-03-30 03:36 301 ----a-w d:\programme\update.ini
2007-03-02 03:48 240,448 ----a-w d:\programme\gwf32.exe
2006-11-23 22:47 207,680 ----a-w d:\programme\BIOS_Run.exe
2006-11-23 22:40 60,224 ----a-w d:\programme\HUADRV.DLL
2006-11-03 17:09 528 ----a-w d:\programme\CONFIG.INI
2005-04-27 18:40 6,800 ----a-w d:\programme\W95_HUA.vxd
.

------- Sigcheck -------

2008-04-14 07:52 671744 b4aee98a48917b274facfb78bbe0bc84 d:\windows.0\ServicePackFiles\i386\wininet.dll
2007-06-25 20:35 823808 26db81279fed58d5199235c26d4836e2 d:\windows.0\system32\wininet.dll
2007-04-25 09:26 823808 26db81279fed58d5199235c26d4836e2 d:\windows.0\system32\dllcache\wininet.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="d:\windows.0\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="d:\windows.0\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="d:\windows.0\system32\xRaidSetup.exe" [2007-08-29 1966080]
"avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="d:\windows.0\system32\NvCpl.dll" [2008-11-12 13672448]
"NvMediaCenter"="d:\windows.0\system32\NvMcTray.dll" [2008-11-12 86016]
"KeyScrambler"="d:\programme\KeyScrambler\keyscrambler.exe" [2008-11-21 510440]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 d:\windows.0\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-11-12 d:\windows.0\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows.0\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"KeyScrambler"="d:\programme\KeyScrambler\getting_started.html" [X]
"nltide_3"="advpack.dll" [2007-06-25 d:\windows.0\system32\advpack.dll]
"IE7"="advpack.dll" [2007-06-25 d:\windows.0\system32\advpack.dll]

d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Startmen\Programme\Autostart\
FlatrateSteckdose.lnk - d:\programme\iOpus Flatrate Steckdose\flatrate.exe [2008-03-14 401408]

d:\dokumente und einstellungen\All Users.WINDOWS.0\Startmen\Programme\Autostart\
hpoddt01.exe.lnk - d:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-09 28672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2008-12-09 20:31 210168 d:\programme\WindowBlind\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users.WINDOWS.0^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=d:\dokumente und einstellungen\All Users.WINDOWS.0\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=d:\windows.0\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Milad.MILAD-E78BB00A5^Startmenü^Programme^Autostart^FlatrateSteckdose.lnk]
path=d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Startmenü\Programme\Autostart\FlatrateSteckdose.lnk
backup=d:\windows.0\pss\FlatrateSteckdose.lnkStartup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^Milad.MILAD-E78BB00A5^Startmenü^Programme^Autostart^hamachi.lnk]
path=d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Startmenü\Programme\Autostart\hamachi.lnk
backup=d:\windows.0\pss\hamachi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-10 10:02 216520 d:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 d:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 d:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Games\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Games\\Left 4 Dead\\hl2.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Games\\Game Progs\\SFT Loader\\leecher.exe"=
"c:\\Games\\Warcraft III\\Warcraft III.exe"=
"c:\\Games\\Call of Duty - World at War\\CoDWaW.unpacked.exe"=
"c:\\Games\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Games\\Dead Space\\Dead Space.exe"=
"c:\\Games\\Grand Theft Auto IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Games\\Game Progs\\Grand Theft Auto IV\\Rockstar Games Social Club\\RGSCLauncher.exe"=

R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;d:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-09-30 935208]
R3 KeyScrambler;KeyScrambler;d:\windows.0\system32\drivers\keyscrambler.sys [2008-12-14 113896]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64dd444c-c619-11dd-a783-806d6172696f}]
\Shell\AutoRun\command - E:\Run.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-10 d:\windows.0\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1228916633.job
- d:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://skins.wincustomize.com/starone/ip/1729.jpg
IE: Alles mit FDM herunterladen - file://c:\games\Game Progs\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\games\Game Progs\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\games\Game Progs\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\games\Game Progs\Free Download Manager\dlfvideo.htm
FF - ProfilePath - d:\dokumente und einstellungen\Milad.MILAD-E78BB00A5\Anwendungsdaten\Mozilla\Firefox\Profiles\7kopm7e2.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\programme\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: d:\programme\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: d:\programme\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: d:\programme\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: d:\programme\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: d:\programme\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: d:\programme\Java\jre1.6.0\bin\npoji610.dll
FF - plugin: e:\programme\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: e:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: e:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: e:\programme\Hypercosm\Hypercosm Player\components\nphypercosm.dll
FF - plugin: e:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: e:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: e:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: e:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: e:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: e:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: e:\programme\QuickTime\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-14 13:56:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(896)
d:\programme\WindowBlind\wbsrv.dll
.
Zeit der Fertigstellung: 2008-12-14 13:57:28
ComboFix-quarantined-files.txt 2008-12-14 12:57:19

Vor Suchlauf: 12 Verzeichnis(se), 12.249.849.856 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 14,168,502,272 Bytes frei

282


[/color]

- 5 - Hijackthis ( Gemacht ) [Farbe Lila]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:58, on 14.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
D:\WINDOWS.0\System32\smss.exe
D:\WINDOWS.0\system32\winlogon.exe
D:\WINDOWS.0\system32\services.exe
D:\WINDOWS.0\system32\lsass.exe
D:\WINDOWS.0\system32\svchost.exe
D:\WINDOWS.0\System32\svchost.exe
D:\WINDOWS.0\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS.0\RTHDCPL.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS.0\system32\ctfmon.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
D:\WINDOWS.0\system32\nvsvc32.exe
D:\WINDOWS.0\system32\PnkBstrA.exe
D:\WINDOWS.0\system32\PnkBstrB.exe
D:\WINDOWS.0\system32\svchost.exe
D:\WINDOWS.0\explorer.exe
D:\Programme\KeyScrambler\KeyScrambler.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://skins.wincustomize.com/starone/ip/1729.jpg
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - D:\Programme\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Games\Game Progs\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] D:\WINDOWS.0\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] D:\WINDOWS.0\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KeyScrambler] D:\Programme\KeyScrambler\keyscrambler.exe /a
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [KeyScrambler] D:\Programme\KeyScrambler\getting_started.html (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: FlatrateSteckdose.lnk = D:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Games\Game Progs\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Games\Game Progs\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Games\Game Progs\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Games\Game Progs\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - D:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - D:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS.0\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS.0\system32\PnkBstrB.exe

--
End of file - 6574 bytes


- 6 - Zur Sicherheit auch Punkt 6 ( Gemacht )

Adobe Flash Player 10 Plugin
Adobe Reader 9 - Deutsch
Adobe Shockwave Player
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
DivX
Free Download Manager 2.5
Free YouTube to Mp3 Converter version 3.1
Gigabyte Raid Configurer
Grand Theft Auto IV
Hamachi 1.0.3.0
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.0 (KB929300)
Hotfix for Microsoft .NET Framework 3.0 (KB930264)
Hotfix für Microsoft .NET Framework 2.0 (KB20060522)
HP Foto- und Bildbearbeitung 2.0 - All-in-One
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
hp psc 1200 series
IconPackager
IconPackager
iTunes
Java(TM) SE Runtime Environment 6
KeyScrambler
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Visual C++ 2005 Redistributable
MSXML 6.0 Parser (KB927977)
Nero 9
neroxml
NVIDIA Drivers
NVIDIA PhysX v8.10.13
Project64 1.6
QuickTime
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Rockstar Games Social Club
Sereby's Updatepack Version 1.7.3
Star ASF Converter 1.2.17
Uninstall 1.0.0.1
vixy converter uninstall
WindowBlinds
Windows Communication Foundation
Windows Media Format 11 runtime
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
XP Codec Pack


Hoffe dass hilft euch weiter !

Gruß Milord
Seitenanfang Seitenende
14.12.2008, 14:37
Moderator

Beiträge: 7805
#4 LAsse bitte d:\windows.0\system32\wininet.dll bei v-t pruefen und poste den Link zum Ergebniss...

Ein scan mit f-secure koennte auch helfen:
http://support.f-secure.de/ger/home/ols.shtml
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.12.2008, 15:27
Member

Themenstarter

Beiträge: 11
#5 http://www.virustotal.com/de/analisis/901e5bac178c6026256db02da303f65e

F-Secure hat was gefunden:

Scanning Report
Sunday, December 14, 2008 14:52:40 - 15:27:01
Computer name: MILORD
Scanning type: Scan target for malware, rootkits
Target: D:\


--------------------------------------------------------------------------------

Result: 7 malware found
TrackingCookie.Adbrite (spyware)
System
TrackingCookie.Atwola (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Revsci (spyware)
System
TrackingCookie.Tradedoubler (spyware)
System
TrackingCookie.Zanox (spyware)
System
W32/Packed_Upack.A (virus)
D:\PROGRAMME\STAR ASF CONVERTER\KEYGEN.EXE (Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 42799
System: 3122
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 7
Submitted: 1
Files not scanned:
D:\PAGEFILE.SYS
D:\WINDOWS.0\SYSTEM32\CONFIG\DEFAULT
D:\WINDOWS.0\SYSTEM32\CONFIG\SAM
D:\WINDOWS.0\SYSTEM32\CONFIG\SECURITY
D:\WINDOWS.0\SYSTEM32\CONFIG\SOFTWARE
D:\WINDOWS.0\SYSTEM32\CONFIG\SYSTEM
D:\DOKUMENTE UND EINSTELLUNGEN\MILAD.MILAD-E78BB00A5\LOKALE EINSTELLUNGEN\TEMP\ETILQS_W7R4D49IG1YIDXEVNM6H

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.40.0
F-Secure Hydra: 2.8.8110, 2008-12-14
F-Secure AVP: 7.0.171, 2008-12-13
F-Secure Pegasus: 1.20.0, 2008-11-10
F-Secure Blacklight: 2.4.1093
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics
Seitenanfang Seitenende
14.12.2008, 16:58
Moderator

Beiträge: 7805
#6 KEYGEN.EXE sind immer potentiell "gefaehrlich"

Mache bitte ein windowsupdate ueber www.windowsupdate.com und lasse dir alle wichtigen Updates installieren. Wiederhole das so lange, bis dir keine wichtigen Updates mehr angeboten werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende