Antivir fund: Trojan "TR/Dropper.Gen"

#16 Du brauchst die Recovery CD nicht,Combofix holt es sich bei Microsoft
__________
MfG Argus

#17 wie meinst du hohlt es sich...soll ich combofix dann einfach starten und dann mit der anleitung vortfahren?! also kein von der cd laden und in das programm schieben....hab ich das dann so richtig verstanden?
MfG
Ymelli

#18 hallo argus, hoffe du bist nicht böse, musste die letzte woche arbeiten und war krank, da is das ein bisschen unter gegangen...hoffe du hilfst mir trotzdem noch zuende....wäre lieb!
mfg Ymelli

#19 bitte lösche deine copie von combofix start ausfüren
combofix /u
lad dir die neueste version von combofix.
mit "hohlen" meint er das combofix eine verbindung zum internet aufbaut und sie runterläd ;-)

#20 aaaaaaaaaaasooooooooooooooo...bin ja manchmal echt schwer von begriff...^^
war doch alles ganz einfach ......hab die log datei für euch:
ComboFix 09-02-17.01 - mellislap 2009-02-18 9:51:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1022.575 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\mellislap\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy.dat
c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy.exe
c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy_nav.dat
c:\dokumente und einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\iwauy_navps.dat
c:\programme\INSTALL.LOG

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-18 bis 2009-02-18 ))))))))))))))))))))))))))))))
.

2009-02-10 21:49 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-10 21:49 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-10 21:49 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-10 21:49 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-10 21:49 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-10 21:49 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-10 21:49 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-10 21:49 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-10 21:49 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-02-10 21:36 . 2009-02-10 21:36 <DIR> d-------- c:\programme\Microsoft CAPICOM 2.1.0.2
2009-02-10 21:36 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-02-10 21:34 . 2008-10-03 11:03 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2009-02-10 21:33 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-10 21:32 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-10 21:32 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-10 21:32 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-10 21:32 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-10 21:32 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-02-10 21:32 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-02-10 21:32 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-02-10 21:31 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-02-10 21:30 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-02-10 21:28 . 2008-06-11 02:58 2,330,624 -----c--- c:\windows\system32\dllcache\WMVCore.dll
2009-02-10 21:28 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-10 21:28 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-02-10 20:10 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-10 20:10 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-10 20:01 . 2009-02-10 21:50 <DIR> d-------- c:\windows\system32\de-de
2009-02-10 20:01 . 2009-02-10 20:01 <DIR> d-------- c:\windows\system32\de
2009-02-10 20:01 . 2009-02-10 20:01 <DIR> d-------- c:\windows\system32\bits
2009-02-10 20:01 . 2009-02-10 20:01 <DIR> d-------- c:\windows\l2schemas
2009-02-10 19:59 . 2009-02-10 20:01 <DIR> d-------- c:\windows\ServicePackFiles
2009-02-10 19:23 . 2004-08-03 22:41 1,041,536 --------- c:\windows\system32\drivers\hsfdpsp2.sys
2009-02-10 19:23 . 2004-08-03 22:41 685,056 --------- c:\windows\system32\drivers\hsfcxts2.sys
2009-02-10 19:23 . 2004-08-03 22:41 220,032 --------- c:\windows\system32\drivers\hsfbs2s2.sys
2009-02-10 19:23 . 2004-07-17 22:55 129,045 --------- c:\windows\system32\drivers\cxthsfs2.cty
2009-02-10 18:53 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-02-10 18:53 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-02-10 18:53 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-02-10 18:53 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-02-10 18:53 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-02-10 18:52 . 2009-02-10 18:52 <DIR> d--hs---- c:\dokumente und einstellungen\mellislap\UserData
2009-02-07 18:48 . 2009-02-07 18:48 <DIR> d-------- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-02-05 16:04 . 2009-02-05 16:04 <DIR> d---s---- c:\programme\Xfire
2009-02-05 16:04 . 2009-02-05 16:08 <DIR> d-------- c:\dokumente und einstellungen\mellislap\Anwendungsdaten\Xfire
2009-02-05 15:55 . 2009-02-05 15:55 <DIR> d-------- c:\programme\SpellForce
2009-02-03 19:44 . 2009-02-03 19:44 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-03 19:44 . 2009-02-03 19:44 <DIR> d-------- c:\dokumente und einstellungen\mellislap\Anwendungsdaten\Malwarebytes
2009-02-03 19:44 . 2009-02-03 19:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-03 19:44 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-03 19:44 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-03 16:02 . 2009-02-03 19:03 <DIR> d-------- C:\ToolBar SD
2009-02-01 21:03 . 2009-02-01 21:03 <DIR> d-------- c:\programme\Trend Micro
2009-02-01 19:33 . 2009-02-01 19:38 <DIR> d-------- c:\programme\Hotspot Shield
2009-02-01 19:33 . 2009-01-27 20:14 31,192 --a------ c:\windows\system32\drivers\hssdrv.sys
2009-01-24 14:05 . 2009-01-24 14:06 <DIR> d-------- c:\dokumente und einstellungen\mellislap\Anwendungsdaten\teamspeak2
2009-01-24 10:36 . 2009-01-24 10:36 34,064 --a------ c:\windows\system32\lhacm.acm
2009-01-24 10:35 . 2009-01-24 14:05 <DIR> d-------- c:\programme\Teamspeak2_RC2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-17 20:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-16 10:35 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\uTorrent
2009-02-10 21:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-31 18:50 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-31 12:20 --------- d-----w c:\programme\PDFCreator
2009-01-24 20:25 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\ISD Software und Systeme
2009-01-09 09:37 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\DAEMON Tools Pro
2009-01-09 09:37 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\DAEMON Tools Lite
2009-01-09 09:37 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\DAEMON Tools
2009-01-09 09:35 --------- d-----w c:\programme\DAEMON Tools Lite
2009-01-08 12:41 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2008-12-23 17:30 --------- d-----w c:\dokumente und einstellungen\mellislap\Anwendungsdaten\dvdcss
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-05-02 08:59 14,852 ----a-w c:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
2009-02-01 19:33 204248 --a------ c:\programme\Hotspot Shield\hssie\HssIE.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-16 94208]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-11-11 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 352256]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-09-29 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 c:\windows\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"TFncKy"="TFncKy.exe" [BU]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2008-11-13 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Toshiba\\TOSHIBA Applet\\THotUtil.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2006-10-13 14912]
R2 BBDemon;Backbone Service;c:\programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 49152]
R2 HssSrv;Hotspot Shield Helper Service;c:\programme\Hotspot Shield\HssWPR\hsssrv.exe [2009-01-27 93656]
R3 HssDrv;Hotspot Shield Helper Miniport;c:\windows\system32\drivers\hssdrv.sys [2009-02-01 31192]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2007-04-26 25088]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [2006-07-12 7040]
S2 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;c:\dokume~1\MELLIS~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE --> c:\dokume~1\MELLIS~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE [?]
.
Inhalt des "geplante Tasks" Ordners

2009-02-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 01:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.18\AMVConverter\grab.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {B2AB6532-D7D8-4D6F-B35D-C76438C6B073} = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\mellislap\Anwendungsdaten\Mozilla\Firefox\Profiles\iitx5xig.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 09:55:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4115161274-1057052067-734524104-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:38,38,d3,8a,16,4e,29,34,2c,8c,bc,7b,1f,73,81,5b,fd,47,de,d1,d2,9d,c8,
85,bd,b6,11,1c,fa,29,dd,5e,b3,e0,8b,35,dc,1a,fc,87,8f,b7,31,32,c9,45,5a,be,\
"??"=hex:63,f6,ad,e7,07,6a,6c,97,6f,12,17,ec,b7,a4,5e,5e
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-18 9:59:02
ComboFix-quarantined-files.txt 2009-02-18 08:58:59

Vor Suchlauf: 21 Verzeichnis(se), 24,081,108,992 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 24,305,950,720 Bytes frei

201 --- E O F --- 2009-02-12 16:41:32

danke für die geduldige hilfe ^^
mfg Ymelli

#21 start ausfüren
combofix /u
antivir so einstellen zusätzlich die Rootkitsuche aktiviere:
http://board.protecus.de/t23979.htm
updaten, allle laufwerke scannen, Funde in Quarantäne Log posten + neues Hijackthis-Log

#22 sooo hier is der hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:34:59, on 19.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.18\AMVConverter\grab.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\visio\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234288382718
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234288567046
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2AB6532-D7D8-4D6F-B35D-C76438C6B073}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\MELLIS~1\LOKALE~1\Temp\IXP000.TMP\INSTAL~1.EXE (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9452 bytes

und antivir hat tatsächlich mit den anderen einstellungen auch noch was gefunden...:

Die Datei 'C:\System Volume Information\_restore{F5F8D2E0-EAD8-4916-9645-B4C4852924C3}\RP218\A0029070.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cc8903.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\mellislap\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\iitx5xig.default\Cache\6D952C06d01'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d57d24.qua' verschoben!

mfg Ymelli

#23 öffne hijackthis hake an:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
autostart aufräumen:
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus
D88"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
drücke fix cheked, alle internetfenster müssen geschlossen sein.
öffne CCleaner extras liste der instalierten programme, erstelle die textdatei und poste deren inhalt + wie läuft dein pc?

#24 sooo hier die liste:

µTorrent
ACDSee for PENTAX 2.0
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader 8.1.3 - Deutsch
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Cisco Systems VPN Client 5.0.00.0340
Dassault Systemes Software B17
DivX Codec
DivX Converter
DivX Player
DivX Web Player
EAX4 Unified Redist
EPSON-Drucker-Software
Favorit
FLV Player 2.0 (build 25)
GTK+ Runtime 2.12.8 rev a (nur entfernen)
HiCAD neXt
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotspot Shield 1.11
HPM Version 10.3
ICQ6
Intel(R) PRO Network Connections Drivers
InterVideo WinDVD for TOSHIBA
J2SE Runtime Environment 5.0 Update 4
Logitech MouseWare 9.80
Macromedia Flash Player
Malwarebytes' Anti-Malware
MATLAB R2006a
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Office Enterprise 2007
Microsoft Office Visio Professional 2003
Microsoft User-Mode Driver Framework Feature Pack 1.5
Microsoft WinUsb 1.0
Mozilla Firefox (3.0.6)
MP3 Player Utilities 4.18
Nero 7 Premium
PDFCreator
PDFCreator Toolbar
PowerDVD
Realtek High Definition Audio Driver
SD-Sicherheitsmodul
Sonic Encoders
SpellForce 2 - Shadow Wars
TeamSpeak 2 RC2
Texas Instruments PCIxx21/x515/xx12 drivers.
TOSHIBA Assist
TOSHIBA ConfigFree
TOSHIBA Controls
TOSHIBA Hotkey Utility
TOSHIBA Power Saver
TOSHIBA Utilities
TuneUp Utilities 2006
VideoLAN VLC media player 0.8.6c
Winamp (remove only)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
WinRAR
X10 Hardware(TM)
Xfire (remove only)

ach ja wat soll ich mit den zwei dateien in der antivir quarantäne machen??? löschen???

mein pc fühlt sich etwas langsam an, braucht meiner meinung nach zu lange um ordner zu öffnen oder hoch bzw runter zu fahren und ab und zu flackert der bildschirm einmal ganz kurz....also eher etwas unrund...(sag jetzt bidde nich ich sollte formatieren :'( )

mfg
Ymelli

#25 öffne wieder CCleaner liste der instalierten programme. wir werden nun veraltete software updaten dafür vorher deinstalieren:
Adobe Reader 8.1.3 - Deutsch
www.adobe.com/de/products/reader/ - 32k -
ICQ6
www.icq.com
J2SE Runtime Environment 5.0 Update 4
nutze das reinigunstool:
www.heise.de/software/download/javara/56676 - 79k -
update:
www.java.com/de/download/manual.jsp -
VideoLAN VLC media player 0.8.6c
www.chip.de/downloads/VLC-media-player_13005928.html - 110k -
würde ich persönlcih verzichten, bringt eigendlich nichts
TuneUp Utilities 2006
gesammten pc scannen, funde löschen log posten:
http://support.f-secure.com/ger/home/ols.shtml
pc scannen log posten:
www.kaspersky.com/de/virusscanner - 22k -
kannst aus der quarantäne löschen

#26 halli hallo, sry das ich so lang gebraucht hab, aber ich habs geschafft...hab alles aktuallisiert außer icq (weil dat neue so groß und außerdem doof is ^^) und tuneup utilities (hier hab ich sag ich mal ned so dieee rechte ^^)
hier die ergebnisse von f-secure:

Result: 13 malware found
TrackingCookie.2o7 (spyware)

* System

TrackingCookie.Advertising (spyware)

* System

TrackingCookie.Atdmt (spyware)

* System

TrackingCookie.Atwola (spyware)

* System

TrackingCookie.Doubleclick (spyware)

* System

TrackingCookie.Imrworldwide (spyware)

* System

TrackingCookie.Mediaplex (spyware)

* System

TrackingCookie.Questionmarket (spyware)

* System

TrackingCookie.Statcounter (spyware)

* System

TrackingCookie.Tradedoubler (spyware)

* System

TrackingCookie.Xiti (spyware)

* System

TrackingCookie.Yieldmanager (spyware)

* System

TrackingCookie.Zanox (spyware)

* System

Statistics
Scanned:

* Files: 50069
* System: 3526
* Not scanned: 12

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 13
* Submitted: 0

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\LOKALE EINSTELLUNGEN\TEMP\ETILQS_RVKNJFXXRKTPRFVIQUS0
* C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\ANWENDUNGSDATEN\ICQ\APPLICATION.MDB
* C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\ANWENDUNGSDATEN\ICQ\311056993\MESSAGES.MDB
* C:\DOKUMENTE UND EINSTELLUNGEN\MELLISLAP\ANWENDUNGSDATEN\ICQ\311056993\OWNER.MDB

Options
Scanning engines:

* F-Secure USS: 3.0.0
* F-Secure Blacklight: 0.0.0
* F-Secure Hydra: 3.6.8511, 2009-02-25
* F-Secure Pegasus: 1.20.0, 1970-00-01
* F-Secure AVP: 7.0.171, 2009-02-25

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

den kaspersky scan:
mhhh der braucht so lang muss wohl den rechner über nacht laufen lassen...also bis jetzt hat der nichts mehr gefunden, ansonsten sag ich dir das morgen...
so jetzt ist morgen...samma kann das sein das kaspersky die infizierten dateien nur anschubst damit antivir die findet o_O...also antivir hat doch noch zwei meiner lieblingstrojaner gefunden: (soll ich die aus der quarantäne löschen?? ^^)
In der Datei 'F:\System Volume Information\_restore{F5F8D2E0-EAD8-4916-9645-B4C4852924C3}\RP229\A0029996.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'F:\Spiele\Grand Theft Auto - Vice City\gta-vc.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

also danke für deine hilfe ^^!!!
mfg
Ymelli

#27 sooo hab jetzt einfach mal die antivir dateien gelöscht...hat sonst noch jemand eine idee???
mfg
Ymelli

#28 du musst antivir ausstellen, antivir findet die dadurch, dass kaspersky drauf zugreift. mach ncoh mal kaspersky scan und poste das log. danke

#29 ok jetzt hab ich kaspersky ohne antivir durchlaufen lassen....aber ich weiß nicht, was du da als log haben möchtest, da ich dort nur anzahl der durchsuchten dateien, laufzeit und die funde (die aber jetzt alle 0 waren *freu*) anzeigt....reicht dir denn in dem fall die info das er nichts mehr gefunden hat? und meinst du das damit mein trojaner und lange verschleppte viren usw gelöst ist?
grüße
Ymelli

#30 ja, hast du noch probleme?