RKIT/Agent.oxr <-- was tun

#46 Hier das Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Disablement of driver "UACd.sys" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Error: could not open driver "UACkinjuhkqkx.sys"
Disablement of driver "UACkinjuhkqkx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "UACd.sys" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\UACkinjuhkqkx.sys" not found!
Deletion of driver "UACkinjuhkqkx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\Software\uac" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#47 Jetzt meldet Antivir ,nachdem Avenger ausgeführt wurde, zwei neue Trojaner oder waren die vorher schon da?
TR/PCK.Tdss.Y.33
TR/Alureon.BF.2

#48 Lass mal combofix laufen
__________
Leet´s get ready to SUCK IT !!!

#49 Hallo, wo meldet Avira die Trojaner?
lösche deine Kopie von Combofix.
start ausführen combofix /u
enter
Lade combofix benenne es aber in fix.exe um. Dann versuche obs läuft.

#50 Zum ersten Mal lief ComboFix richtig. Hier der hoffentlich richtige Log:

ComboFix 09-08-29.01 - Kevin 30.08.2009 13:34:03.6.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.599 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kevin\Desktop\fix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Installer\3098029.msi
C:\WINDOWS\run.log
C:\WINDOWS\system32\ICON.ico
C:\WINDOWS\system32\uacinit.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_UACd.sys
-------\Service_HDUSB
-------\Service_UACd.sys


((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-30 ))))))))))))))))))))))))))))))
.

2009-08-30 10:03:56 . 2009-08-30 10:03:56 0 d-sh--w- C:\found.001
2009-08-26 20:33:04 . 2009-08-30 09:37:16 0 d-----w- C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\vlc
2009-08-23 22:15:42 . 2009-08-23 22:15:51 0 d-s---w- C:\test
2009-08-22 19:39:08 . 2009-08-29 19:09:21 174 ----a-w- C:\WINDOWS\system32\UACtnckqaenqt.dat
2009-08-22 10:54:24 . 2008-03-16 12:30:52 216064 --sh--r- C:\WINDOWS\system32\nbDX.dll
2009-08-22 10:54:23 . 2007-02-21 10:47:16 31232 --sh--r- C:\WINDOWS\system32\msfDX.dll
2009-08-22 10:54:23 . 2006-05-03 09:06:54 163328 --sh--r- C:\WINDOWS\system32\flvDX.dll
2009-08-13 19:44:34 . 2009-08-13 19:44:34 0 d-----w- C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\Ashampoo
2009-08-13 19:41:35 . 2009-08-13 19:41:35 0 d-----w- C:\Programme\Ashampoo
2009-08-01 16:32:41 . 2006-05-28 23:00:00 16384 ----a-r- C:\WINDOWS\system32\avmprmon.dll
2009-08-01 16:32:38 . 2009-08-01 16:32:40 0 d-----w- C:\Programme\FRITZ!BoxPrint
2009-08-01 16:32:38 . 2009-08-01 16:32:40 0 d-----w- C:\Programme\FRITZ!Box
2009-08-01 16:31:05 . 2006-11-06 23:00:00 14976 ----a-r- C:\WINDOWS\system32\drivers\avmunet.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-30 11:33:40 . 2006-01-30 00:04:19 75148 ----a-w- C:\WINDOWS\system32\perfc007.dat
2009-08-30 11:33:40 . 2006-01-30 00:04:19 415744 ----a-w- C:\WINDOWS\system32\perfh007.dat
2009-08-29 20:10:48 . 2008-08-19 20:19:34 0 d-----w- C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\dvdcss
2009-08-29 15:13:01 . 2009-05-06 16:59:59 0 d-----w- C:\Programme\Trillian
2009-08-28 12:52:14 . 2009-02-15 12:12:52 0 d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-08-26 20:31:05 . 2008-06-25 08:52:43 0 d-----w- C:\Programme\VideoLAN
2009-08-23 11:53:41 . 2008-07-25 16:40:47 0 d-----w- C:\Programme\Malwarebytes' Anti-Malware
2009-08-16 09:44:23 . 2009-01-13 15:18:29 0 d-----w- C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\FileZilla
2009-08-15 05:03:29 . 2008-01-05 21:47:06 0 d-----w- C:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\VideoReDoPlus
2009-08-06 20:08:14 . 2007-11-30 12:24:12 0 d---a-w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-08-05 19:30:12 . 2009-05-06 19:19:29 55656 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys
2009-08-03 11:36:28 . 2008-07-25 16:40:48 38160 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36:06 . 2008-07-25 16:40:49 19096 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys
2009-08-01 16:32:43 . 2006-01-31 13:17:14 0 d-----w- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-29 13:48:46 . 2009-07-29 13:48:46 0 d-----w- C:\Programme\Axis Communications
2009-07-12 08:06:08 . 2006-01-30 22:43:29 0 d--h--w- C:\Programme\InstallShield Installation Information
2009-07-12 05:28:28 . 2009-07-12 05:28:28 0 d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OfficeRecovery
2009-07-12 05:28:27 . 2009-07-12 05:28:27 0 d-----w- C:\Programme\OfficeRecovery
2006-06-15 19:33:58 . 2007-12-28 18:42:46 233472 ----a-w- C:\Programme\mozilla firefox\plugins\CrazyTalk4Native.dll
2006-05-25 17:43:32 . 2007-12-28 18:42:46 204895 ----a-w- C:\Programme\mozilla firefox\plugins\ctdomemhelper.dll
2005-09-29 13:41:38 . 2007-12-28 18:42:46 77824 ----a-w- C:\Programme\mozilla firefox\plugins\ctframeplayerobject.dll
2006-06-19 12:10:42 . 2007-12-28 18:42:46 426081 ----a-w- C:\Programme\mozilla firefox\plugins\ctplayerobject.dll
2005-02-02 11:19:12 . 2007-12-28 18:42:26 458752 ----a-w- C:\Programme\mozilla firefox\plugins\imagickrt.dll
2006-04-10 17:35:38 . 2007-12-28 18:42:46 139264 ----a-w- C:\Programme\mozilla firefox\plugins\rlcontentclass.dll
2005-11-09 10:10:06 . 2007-12-28 18:42:27 204800 ----a-w- C:\Programme\mozilla firefox\plugins\RLMusicPacker.dll
2005-11-09 10:42:52 . 2007-12-28 18:42:27 106496 ----a-w- C:\Programme\mozilla firefox\plugins\RLMusicUnpacker.dll
2006-01-04 10:22:00 . 2007-12-28 18:42:28 212992 ----a-w- C:\Programme\mozilla firefox\plugins\RLVoicePacker.dll
2006-01-04 10:21:44 . 2007-12-28 18:42:28 167936 ----a-w- C:\Programme\mozilla firefox\plugins\RLVoiceUnpacker.dll
2007-12-28 18:42:47 . 2007-12-28 18:42:47 80 --sh--r- C:\WINDOWS\CT4CET.bin
2006-05-03 09:06:54 . 2009-08-22 10:54:23 163328 --sh--r- C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47:16 . 2009-08-22 10:54:23 31232 --sh--r- C:\WINDOWS\system32\msfDX.dll
2008-03-16 12:30:52 . 2009-08-22 10:54:24 216064 --sh--r- C:\WINDOWS\system32\nbDX.dll


Jetzt funzt auch das Windows Sicherheitscenter wieder. Antivir schweigt nun. Mal sehen wie lange.

#51 Ok sieht schoma gut aus
Wir sind aber noch lange nicht fertig

Erstelle ein frisches Hijackthis logfile
__________
Leet´s get ready to SUCK IT !!!

#52 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:41, on 30.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\c42427ff134b9d3c82d8b2dc0c3e89b3\update\update.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
R:\Programme\wswin\wswin32.exe
C:\WINDOWS\SoftwareDistribution\Download\f3c82f576bf9bcd88d5bc711305dd69a\update\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIMACE] C:\Programme\ATI Technologies\ATI.ACE\MACE.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138717820890
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9086 bytes

#53 Fix mal bitte folgende einträge

Zitat

R3 - URLSearchHook: (no name) - - (no file)

Zitat

O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - (no file)

Zitat

O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - (no file)

Dann mach einen quick Scan mit MBAM und poste das Logifle
__________
Leet´s get ready to SUCK IT !!!

#54 Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2717
Windows 5.1.2600 Service Pack 2

30.08.2009 14:58:30
mbam-log-2009-08-30 (14-58-30).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99507
Laufzeit: 16 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\UACtnckqaenqt.dat (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\UAClqcfyqnrcx.db (Trojan.TDSS) -> Quarantined and deleted successfully.

#55 Wie läuft der rechner jetzt ?
__________
Leet´s get ready to SUCK IT !!!

#56 Eigentlich sehr gut ,nur ist mein Administratorkonto verschwunden. Dadurch gehen einige Anwendungen nicht mehr. Im abgesicherten Modus ist es noch vorhanden.

#57

Zitat

[DX] postete
Wie läuft der rechner jetzt ?

Was meinst du mit "verschwunden"
Du kannst dich damit nicht mehr einloggen ?
__________
Leet´s get ready to SUCK IT !!!

#58 Nur mein Zweitkonto ist noch aktiv. Sprich ich kann nicht mehr wechseln.
Komisch bei den Benutzerkonten ist mein jetziges Konto als Administrator angeben, aber meine AXIS Netzwerkcam sagt ich kann auf sie nicht mehr zugreifen ,weil ich keine Administratorrechte habe.
EDIT: Halt jetzt gehts. Mußte nur ein neues ActiveX Steuerelement installieren.

#59 Mhh
Gib mir mal ein frisches Hiajckthis Logfile !

Dann geh in den abgesichtern modus,log dich als Admin ein,und dann gib dem konto einfach nochma admin rechte,vieleicht geht es dann
__________
Leet´s get ready to SUCK IT !!!

#60 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:43, on 30.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
R:\visiongs\visiongs.exe
R:\Programme\wswin\wswin32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Axis Communications\AXIS IP Utility\IPUtility.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIMACE] C:\Programme\ATI Technologies\ATI.ACE\MACE.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138717820890
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://192.168.178.22/activex/AMC.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8933 bytes