Bin ich noch infiziert die 1000.?

[mcbuddha]

Tut mir leid liebes Forum, aber ich hatte einen Trojaner und die mögen es offensichtlich nicht, wenn man versucht sie zu löschen. Daher frage ich - wie schon andere 100te - ob ich denn noch infiziert bin.
Wär sehr nett, wenn ihr mir das beantworten könntet, da ich wohl noch zu doof bin da durchzusteigen.

Hijack File:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 17:08:00, on 23.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\VM303_STI.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\HDD Health\hddhealth.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\DOKUME~1\_ajs\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\system32\SearchFilterHost.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - Startup: Microsoft Office Outlook 2007 (Beta).lnk = ?
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1156187581149
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

und eure filelist.txt mit den letzten 30 Tagen

Code:

----- Root ----------------------------- 
 Datentr„ger in Laufwerk C: ist Base
 Volumeseriennummer: 844E-FE49

 Verzeichnis von C:\

23.09.2006  17:00                43 filelist.txt
23.09.2006  16:56       526.897.152 hiberfil.sys
23.09.2006  16:56       792.723.456 pagefile.sys
23.09.2006  16:38                 0 23990098.$$$
11.09.2006  18:20                20 sccfg.sys
08.09.2006  16:53               342 hook.log
31.08.2006  00:20               172 dxlog.txt
28.08.2006  18:14                 0 ctapi_out_gr.txt
21.08.2006  21:00               211 boot.ini
21.08.2006  20:53            47.564 NTDETECT.COM
21.08.2006  20:53           251.184 ntldr
21.08.2006  20:38                 0 MSDOS.SYS
21.08.2006  20:38                 0 IO.SYS
21.08.2006  20:38                 0 AUTOEXEC.BAT
21.08.2006  20:38                 0 CONFIG.SYS

              16 Datei(en)  1.319.925.096 Bytes
               0 Verzeichnis(se),  6.850.625.536 Bytes frei
 
----- Windows -------------------------- 
 Datentr„ger in Laufwerk C: ist Base
 Volumeseriennummer: 844E-FE49

 Verzeichnis von C:\WINDOWS

23.09.2006  16:56         1.260.265 WindowsUpdate.log
23.09.2006  16:56                50 wiaservc.log
23.09.2006  16:56               159 wiadebug.log
23.09.2006  16:56                 0 0.log
23.09.2006  16:56             2.048 bootstat.dat
23.09.2006  16:55            23.356 SchedLgU.Txt
23.09.2006  15:22                 0 nsreg.dat
23.09.2006  15:20            97.644 ntbtlog.txt
18.09.2006  11:15               756 win.ini
24.08.2006  22:42             3.020 mozver.dat
23.08.2006  11:17                 0 PROTOCOL.INI
22.08.2006  12:06           316.640 WMSysPr9.prx
21.08.2006  21:25                 0 Sti_Trace.log
21.08.2006  21:22               231 system.ini
21.08.2006  20:38                 0 control.ini
21.08.2006  20:38           299.552 WMSysPrx.prx
21.08.2006  20:38             4.161 ODBCINST.INI
21.08.2006  20:37               749 WindowsShell.Manifest
21.08.2006  20:30                37 vbaddin.ini
21.08.2006  20:30                36 vb.ini

              61 Datei(en)      6.587.836 Bytes
               0 Verzeichnis(se),  6.850.621.440 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datentr„ger in Laufwerk C: ist Base
 Volumeseriennummer: 844E-FE49

 Verzeichnis von C:\WINDOWS\system32

23.09.2006  16:56             2.206 wpa.dbl
23.09.2006  16:56            54.112 vsconfig.xml
18.09.2006  19:00           264.616 FNTCACHE.DAT
15.09.2006  23:43           428.010 perfh009.dat
15.09.2006  23:43            72.230 perfc009.dat
15.09.2006  23:43           447.324 perfh007.dat
15.09.2006  23:43            88.032 perfc007.dat
15.09.2006  23:43         1.024.456 PerfStringBackup.INI
11.09.2006  19:37         8.960.936 MRT.exe
07.09.2006  11:28                 0 asfiles.txt
07.09.2006  11:25             2.550 Uninstall.ico
07.09.2006  11:25             1.406 Help.ico
07.09.2006  11:25            30.590 pavas.ico
05.09.2006  19:17             1.024 ntiembed.dll
24.08.2006  22:42             7.006 jupdate-1.5.0_06-b05.log
22.08.2006  15:26                 8 success

            2032 Datei(en)    371.725.800 Bytes
               0 Verzeichnis(se),  6.850.433.024 Bytes frei
 
----- Prefetch ------------------------- 
 Datentr„ger in Laufwerk C: ist Base
 Volumeseriennummer: 844E-FE49

 Verzeichnis von C:\WINDOWS\Prefetch

23.09.2006  17:00            70.124 FDM.EXE-0654E435.pf
23.09.2006  17:00            14.104 VERCLSID.EXE-3667BD89.pf
23.09.2006  16:59            69.812 SEARCHFILTERHOST.EXE-148579FB.pf
23.09.2006  16:57           110.126 FIREFOX.EXE-1D57670A.pf
23.09.2006  16:57            69.954 SEARCHPROTOCOLHOST.EXE-34E0253A.pf
23.09.2006  16:57            28.098 WUAUCLT.EXE-399A8E72.pf
23.09.2006  16:57            70.956 YAHOOWIDGETENGINE.EXE-1DCC80A5.pf
23.09.2006  16:57            10.242 ZSH.EXE-13E1654D.pf
23.09.2006  16:57             4.628 CAL.EXE-132A927C.pf
23.09.2006  16:57           891.712 NTOSBOOT-B00DFAAD.pf
23.09.2006  16:55            22.410 LOGONUI.EXE-0AF22957.pf
23.09.2006  16:53            63.422 NOTEPAD.EXE-336351A9.pf
23.09.2006  16:49            46.042 AVCENTER.EXE-37584419.pf
23.09.2006  16:47            13.830 REGEDIT.EXE-1B606482.pf
23.09.2006  15:15            47.770 UPDCLIENT.EXE-215FC96B.pf
23.09.2006  15:14            66.720 CCLEANER.EXE-065E2F3F.pf
23.09.2006  15:13            16.776 CCSETUP133.EXE-1B61939D.pf
23.09.2006  15:13            67.706 EXPLORER.EXE-082F38A9.pf
23.09.2006  15:09            28.230 KAVUPD.EXE-2EA09F8C.pf
23.09.2006  15:08            46.330 TUGZIP.EXE-07841A31.pf
23.09.2006  15:01            55.500 AVSCAN.EXE-05AECC0E.pf
23.09.2006  15:00            71.538 ICQLITE.EXE-2AEFACA7.pf
23.09.2006  14:57            45.686 HIJACKTHIS.EXE-075BBF80.pf
23.09.2006  14:56            47.914 HIJACKTHIS.EXE-378F65B0.pf
23.09.2006  14:56            39.322 ACRORD32INFO.EXE-30CEC19C.pf
23.09.2006  14:46            16.770 HIJACKTHIS.EXE-2C2841D9.pf
23.09.2006  14:46            99.582 OUTLOOK.EXE-34D715FD.pf
23.09.2006  14:45            27.038 IMAPI.EXE-0BF740A4.pf
23.09.2006  14:45            10.816 FPASSIST.EXE-18368AA2.pf
23.09.2006  14:45             5.656 CTRLVOL.EXE-0D605804.pf
23.09.2006  14:45            17.678 AVGNT.EXE-36CA4640.pf
23.09.2006  14:45             9.570 LAUNCHAP.EXE-055A5C9F.pf
23.09.2006  14:45             8.768 HKCMD.EXE-1D05234B.pf
23.09.2006  14:45            11.290 IGFXTRAY.EXE-3391579A.pf
23.09.2006  14:45            30.930 USERINIT.EXE-30B18140.pf
23.09.2006  14:45            42.916 WMIPRVSE.EXE-28F301A9.pf
23.09.2006  14:45            45.888 WGATRAY.EXE-0ED38BED.pf
23.09.2006  13:54            15.098 GUARDGUI.EXE-1BD45C30.pf
23.09.2006  13:53           372.986 Layout.ini
23.09.2006  13:49             5.776 LOGON.SCR-151EFAEA.pf
23.09.2006  13:37            12.066 WSCNTFY.EXE-1B24F5EB.pf
23.09.2006  13:37            19.314 SCHED.EXE-236A886F.pf
23.09.2006  13:36            45.658 AVNOTIFY.EXE-22AE9451.pf
23.09.2006  13:36            40.918 UPDATE.EXE-13D57D76.pf
23.09.2006  13:36            13.730 PREUPD.EXE-358AA1C1.pf
23.09.2006  13:13            91.286 WINWORD.EXE-0B995611.pf
23.09.2006  11:48           102.500 ACRORD32.EXE-0EC716D9.pf
23.09.2006  11:26            89.600 WINAMP.EXE-08C38ED9.pf
23.09.2006  11:22            77.814 IEXPLORE.EXE-2CA9778D.pf
23.09.2006  11:16           132.322 FIREFOX.EXE-17EE503B.pf
23.09.2006  10:35             4.912 SCRNSAVE.SCR-017F06EB.pf
22.09.2006  23:40            14.756 MACROMEDIA LICENSING.EXE-296F55D3.pf
22.09.2006  23:40            10.664 ~E5D141.TMP-343C8522.pf
22.09.2006  23:40            77.970 DREAMWEAVER.EXE-2D0644F1.pf
22.09.2006  23:11            40.416 FILEZILLA.EXE-017E33E7.pf
22.09.2006  22:06            22.522 WMIAPSRV.EXE-1E2270A5.pf
22.09.2006  22:05           126.860 SKYPE.EXE-21F19BC8.pf
22.09.2006  20:08            49.230 EXCEL.EXE-3AB61D88.pf
22.09.2006  20:03            18.894 IP.EXE-01B96055.pf
22.09.2006  18:44            15.278 RUNDLL32.EXE-12E27DD0.pf
22.09.2006  18:40            44.808 WMPLAYER.EXE-0996933C.pf
22.09.2006  18:31            35.114 SETUP_WM.EXE-19AC5A9B.pf
22.09.2006  17:38           122.050 VLC.EXE-29851A71.pf
22.09.2006  17:37            63.468 WMPLAYER.EXE-0996933A.pf
22.09.2006  17:35            55.228 WMPLAYER.EXE-0996933B.pf
21.09.2006  23:48            35.986 SPEEDSWITCHXP.EXE-197FABD9.pf
21.09.2006  23:37            51.540 HELPSVC.EXE-2878DDA2.pf
21.09.2006  22:31            57.726 OPERA.EXE-24550E7A.pf
21.09.2006  21:35            15.930 I_VIEW32.EXE-0B6C3BA4.pf
21.09.2006  21:28            35.094 RUNDLL32.EXE-1ABA1E7B.pf
21.09.2006  20:59            10.870 RUNDLL32.EXE-2AE6C217.pf
21.09.2006  20:59            90.068 PHOTOSHOP.EXE-2E1C999E.pf
21.09.2006  20:09            45.694 EMULE.EXE-184A63F1.pf
21.09.2006  20:00            72.370 WMPLAYER.EXE-09969339.pf
21.09.2006  19:54            13.512 OFFLB.EXE-03A7C203.pf
21.09.2006  16:19            36.862 DECODER5.EXE-13748708.pf
21.09.2006  15:51            26.416 MSPAINT.EXE-11CBB631.pf
21.09.2006  10:06            44.180 FDM.EXE-2B81629D.pf
21.09.2006  10:03            18.220 IS-AVQ6R.TMP-1ECC138C.pf
21.09.2006  10:03            12.742 FDMINST21.EXE-23D86217.pf
21.09.2006  09:53            14.974 ALG.EXE-0F138680.pf
21.09.2006  08:36            43.244 DWWIN.EXE-30875ADC.pf
21.09.2006  08:29            13.826 RUNDLL32.EXE-2DD9023C.pf
21.09.2006  08:29            25.712 IGFXSRVC.EXE-2FB63FE8.pf
21.09.2006  00:43             9.816 RUNDLL32.EXE-451FC2C0.pf
21.09.2006  00:43            13.324 RUNDLL32.EXE-1610FFB7.pf
20.09.2006  21:58            10.526 RUNDLL32.EXE-39BE8738.pf
20.09.2006  21:13            53.570 AVGUARD.EXE-3490B18B.pf
20.09.2006  20:26            20.192 DRWTSN32.EXE-2B4B52AC.pf
20.09.2006  18:34            37.864 DFRGNTFS.EXE-269967DF.pf
20.09.2006  18:34            14.846 DEFRAG.EXE-273F131E.pf
20.09.2006  16:40            36.538 MP3TAG.EXE-044AAB5B.pf
20.09.2006  16:27            35.576 FREEPDF.EXE-054FA9B2.pf
20.09.2006  16:27            38.288 GSWIN32C.EXE-02DE5EF6.pf
20.09.2006  16:27             6.728 REDRUN.EXE-0746FC9C.pf
20.09.2006  16:27             9.436 FPREDMON.EXE-04FE2A32.pf
20.09.2006  14:00            29.604 OSE.EXE-313A091F.pf
20.09.2006  13:57            15.998 RUNDLL32.EXE-11915D67.pf
20.09.2006  13:55            22.492 MSOXMLED.EXE-29FAB1E3.pf
20.09.2006  13:04            13.140 LINKCREATOR.EXE-083A7B81.pf
20.09.2006  13:02            29.008 MSIEXEC.EXE-2F8A8CAE.pf
20.09.2006  13:02            17.684 OPERA_9.01_INTERNATIONAL_SETU-13B0AD9D.pf
20.09.2006  10:37            51.136 MIRANDA32.EXE-248B043D.pf
20.09.2006  10:36             9.838 RUNDLL32.EXE-4845B289.pf
20.09.2006  10:35            18.410 MIRANDA-IM-V0.5.1-UNICODE.EXE-1DD505B2.pf
20.09.2006  10:34            18.438 IS-ITA01.TMP-21342F27.pf
20.09.2006  10:34            12.846 MIRANDA-IM-V0.4.0.3.EXE-19749CDF.pf
20.09.2006  09:43            18.042 RUNDLL32.EXE-3493B883.pf
20.09.2006  09:43            18.042 RUNDLL32.EXE-49486871.pf
20.09.2006  09:43            18.042 RUNDLL32.EXE-22E0EDDC.pf
20.09.2006  09:43            18.042 RUNDLL32.EXE-24ABB67E.pf
20.09.2006  09:43            18.042 RUNDLL32.EXE-38CD8C80.pf
20.09.2006  09:43            18.042 RUNDLL32.EXE-127BF2EC.pf
20.09.2006  09:43            18.042 RUNDLL32.EXE-4874C519.pf
20.09.2006  09:43            21.400 RUNDLL32.EXE-2858A385.pf
20.09.2006  09:42            18.042 RUNDLL32.EXE-151A5EE6.pf
20.09.2006  09:42            18.042 RUNDLL32.EXE-17247862.pf
20.09.2006  09:42            35.180 RUNDLL32.EXE-40502DFD.pf
19.09.2006  21:24            51.240 ZLCLIENT.EXE-0120F620.pf
19.09.2006  21:23            22.806 VSMON.EXE-1609C098.pf
19.09.2006  21:16            18.728 NETSCAN2,7.EXE-122B9201.pf
19.09.2006  19:36            36.722 SPEEDFAN.EXE-33B200C6.pf
19.09.2006  18:01            17.218 TASKMGR.EXE-20256C55.pf
19.09.2006  18:00            35.846 RUNDLL32.EXE-2F36FD7B.pf
19.09.2006  14:41            68.014 DW20.EXE-005BA42F.pf
19.09.2006  13:34            14.686 RUNDLL32.EXE-11FA282D.pf
19.09.2006  09:56             9.938 READER_SL.EXE-36135169.pf
19.09.2006  09:56             8.388 WBUTTON.EXE-2B351ECF.pf
19.09.2006  09:56            10.386 HOTKEYAPP.EXE-15C2C304.pf
19.09.2006  09:56             8.322 IGFXPERS.EXE-2C07C174.pf
             130 Datei(en)      5.778.608 Bytes
               0 Verzeichnis(se),  6.850.506.752 Bytes frei
 
----- Tasks ---------------------------- 
 Datentr„ger in Laufwerk C: ist Base
 Volumeseriennummer: 844E-FE49

 Verzeichnis von C:\WINDOWS\tasks

23.09.2006  16:56                 6 SA.DAT
06.09.2006  22:30               404 SyncBack Backup.job
29.08.2002  14:00                65 desktop.ini
               3 Datei(en)            475 Bytes
               0 Verzeichnis(se),  6.850.514.944 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datentr„ger in Laufwerk C: ist Base
 Volumeseriennummer: 844E-FE49

 Verzeichnis von C:\WINDOWS\Temp

23.09.2006  16:56               409 WGANotify.settings
23.09.2006  16:56               255 WGAErrLog.txt
23.09.2006  16:56               256 ZLT07c29.TMP
23.09.2006  16:56               256 ZLT03a03.TMP
23.09.2006  16:42               256 ZLT05bcf.TMP
23.09.2006  16:42               256 ZLT02f6d.TMP
23.09.2006  14:59               256 ZLT052bb.TMP
23.09.2006  14:59               256 ZLT06070.TMP
               8 Datei(en)          2.200 Bytes
               0 Verzeichnis(se),  6.850.514.944 Bytes frei
 
----- Temp ----------------------------- 
 Datentr„ger in Laufwerk C: ist Base
 Volumeseriennummer: 844E-FE49

 Verzeichnis von C:\DOKUME~1\_ajs\LOKALE~1\Temp

23.09.2006  16:57            16.384 ~DFC6A3.tmp
23.09.2006  16:57               512 ~DFAE94.tmp
23.09.2006  16:57            16.384 ~DFACCE.tmp
23.09.2006  16:56            16.384 ~DFA2EC.tmp
23.09.2006  16:52               206 jusched.log
               5 Datei(en)         49.870 Bytes
               0 Verzeichnis(se),  6.850.514.944 Bytes frei

Vielen Dank im voraus

[Speedy]

hi

C:\-------\temp\Hijackthis.exe
HijackThis niemals aus einem temp. ordner ausführen, das programm so anlegen
C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup

update bei avira/antivir durchführen

wechle in den abgesicherten modus und leere den prefetch ordner so wie
alle temp. ordner !

scanne nun mit avira das system und lass fehler beseitigen
poste den relevanten teil des logfiles (nicht welche dateien er überprüft hat, sondern, welche er gelöscht, in quarantäne usw. verschoben hat.

was ist das C:\WINDOWS\tasks\SyncBack Backup.job

[mcbuddha]

Danke. Habe mit CCleaner im abgesicherten Modus mein Comp gereinigt. Ich hoffe das reicht. Avira hat keinen Virus mehr gemeldet. Aber würde ein Virenscanner merken, wenn die SVCHOST Datei verändert worden wäre? Das tut anscheinend TR/proxy.horst.gen - diesen hat sich zweimal über Avira gemeldet. Das zweite Mal habe ichs im system restore volume gehabt.

Grüße mcbuddha

PS: Syncback ist eine Synchronisierungsfreeware

[Ruby]

Hallo Mcbuddha

wenn du Malware im Ordner system restore volume hast, musst du die Systemwiederherstellung deaktivieren, neu aufstarten und dann die SWH wieder aktivieren. Mach das nun bitte sowieso, denn die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Das wollen wir aber nicht. Bitte erstelle nun einen vorläufigen Wiederherstellungspunkt.

Lade bitte das Combofix herunter, von einem der folgenden Download Spiegel:

http://download.bleepingcomputer.com/sUBs/combofix.exe
http://www.techsupportforum.com/sectools/combofix.exe

• speichere es auf deinem Desktop.
• Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
• Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
• Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die combo.exe und folge den Hinweisen, gib an dieser Stelle ein "y" oder "Y" ein (oder ein "N", wenn du den Fix abbrechen musst).



2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

• Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
  Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
• Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

[mcbuddha]

Die SWH habe ich de-/aktiviert. Vielen Dank für den Support.
Hier die .txt aus dieser Combofile (der wirklich explizit auflistet, was ich auf meinem Rechner so alles mache )
Übrigens musste der Rechner nicht neugestartet werden...

Grüße mcbuddha

Code:

_ajs - 06-09-27 10:54:05,38    Service Pack 2
ComboFix 06.09.27 - Running from: "C:\Dokumente und Einstellungen\_ajs\Desktop"

(((((((((((((((((((((((((((((((   Files Created from 2006-08-27 to 2006-09-27  ))))))))))))))))))))))))))))))))))
 

2006-09-25	21:39	2,829	--a------	C:\WINDOWS\War3Unin.pif
2006-09-25	21:39	139,264	--a------	C:\WINDOWS\War3Unin.exe
2006-09-17	14:20	974,848	--a------	C:\WINDOWS\system32\mfc70.dll
2006-09-17	14:20	487,424	--a------	C:\WINDOWS\system32\msvcp70.dll
2006-09-17	14:20	344,064	--a------	C:\WINDOWS\system32\msvcr70.dll
2006-09-07	23:07	73,728	--a------	C:\WINDOWS\system32\FLKill.exe
2006-09-07	23:07	20	--a------	C:\sccfg.sys
2006-09-07	21:47	11,170	-ra------	C:\WINDOWS\system32\PA207Usd.dll
2006-09-05	19:17	1,024	-r-h-----	C:\WINDOWS\system32\ntiembed.dll
2006-09-04	15:50	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2006-09-04	15:40	178,408	--a------	C:\WINDOWS\system32\muweb.dll
2006-09-04	15:40	128,232	--a------	C:\WINDOWS\system32\mucltui.dll
 

((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-27 10:53	--------	d--------	C:\Programme\Mozilla Firefox
2006-09-27 10:49	--------	d--------	C:\Programme\Spamihilator
2006-09-27 10:47	--------	d--------	C:\Programme\HDD Health
2006-09-27 09:22	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Skype
2006-09-27 00:27	--------	d--------	C:\Programme\Warcraft III
2006-09-26 15:08	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Free Download Manager
2006-09-25 22:22	--------	d--------	C:\Programme\eMule
2006-09-25 20:55	223128	--a------	C:\WINDOWS\system32\drivers\dtscsi.sys
2006-09-25 20:55	--------	d--------	C:\Programme\DAEMON Tools
2006-09-25 20:52	96256	--a------	C:\WINDOWS\system32\drivers\sptd5213.sys
2006-09-25 20:52	643072	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2006-09-23 15:33	--------	d--------	C:\Programme\ICQLite
2006-09-23 15:13	--------	d--------	C:\Programme\CCleaner
2006-09-21 10:03	--------	d--------	C:\Programme\Free Download Manager
2006-09-20 13:02	--------	d---s----	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Microsoft
2006-09-20 13:02	--------	d--------	C:\Programme\Opera
2006-09-20 10:35	--------	d--------	C:\Programme\Miranda IM
2006-09-19 19:35	--------	d--------	C:\Programme\SpeedFan
2006-09-18 19:01	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Windows Desktop Search
2006-09-18 19:00	--------	d--------	C:\Programme\Windows Desktop Search
2006-09-18 11:07	--------	d--------	C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-18 11:05	--------	d--------	C:\Programme\MSBuild
2006-09-17 14:29	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Macromedia
2006-09-17 14:20	--------	d--h-----	C:\Programme\InstallShield Installation Information
2006-09-17 14:20	--------	d--------	C:\Programme\Macromedia
2006-09-17 14:20	--------	d--------	C:\Programme\Gemeinsame Dateien\Macromedia Shared
2006-09-17 14:20	--------	d--------	C:\Programme\Gemeinsame Dateien\Macromedia
2006-09-17 14:20	--------	d--------	C:\Programme\Gemeinsame Dateien
2006-09-14 10:59	--------	d--------	C:\Programme\FileZilla
2006-09-13 18:51	--------	d--------	C:\Programme\Winamp
2006-09-11 18:30	--------	d--------	C:\Programme\Folder Lock
2006-09-07 11:35	--------	d--------	C:\Programme\Launch Manager
2006-09-07 11:34	--------	d--------	C:\Programme\Internet Explorer
2006-09-07 11:33	--------	d--------	C:\Programme\FreePDF_XP
2006-09-07 11:33	--------	d--------	C:\Programme\AntiVir PersonalEdition Classic
2006-09-07 09:07	--------	d--------	C:\Programme\dirLock
2006-09-06 12:12	--------	d--------	C:\Programme\2BrightSparks
2006-09-05 11:17	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\InterVideo
2006-08-31 00:40	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Adobe
2006-08-31 00:20	--------	d--------	C:\Programme\Foto-Mosaik
2006-08-24 22:43	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Sun
2006-08-24 22:42	--------	d--------	C:\Programme\Java
2006-08-24 22:40	--------	d--------	C:\Programme\Gemeinsame Dateien\Java
2006-08-24 21:28	--------	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2006-08-24 21:28	--------	d--------	C:\Programme\Adobe
2006-08-24 20:47	38465	--a------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Comma Separated Values (Windows).ADR
2006-08-24 00:15	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\vlc
2006-08-23 11:17	--------	d--------	C:\Programme\psi
2006-08-23 09:22	--------	d--------	C:\Programme\VideoLAN
2006-08-23 08:49	--------	d--------	C:\Programme\TUGZip
2006-08-23 00:08	--------	d--------	C:\Programme\Skype
2006-08-22 23:57	--------	d--------	C:\Programme\SpeedswitchXP
2006-08-22 16:42	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Mp3tag
2006-08-22 16:41	--------	d--------	C:\Programme\Mp3tag
2006-08-22 15:25	--------	d--------	C:\Programme\Gemeinsame Dateien\Deterministic Networks
2006-08-22 15:25	--------	d--------	C:\Programme\Cisco Systems
2006-08-22 15:24	--------	d--------	C:\Programme\PowerQuest
2006-08-22 15:15	--------	d--------	C:\Programme\WinRAR
2006-08-22 14:50	--------	d--------	C:\Programme\IrfanView
2006-08-22 13:49	--------	d--------	C:\Programme\TweakNow PowerPack 2006
2006-08-22 13:48	--------	d--------	C:\Programme\TweakNow 2006
2006-08-22 12:08	--------	d--------	C:\Programme\Yahoo!
2006-08-22 12:06	--------	d--------	C:\Programme\Ahead
2006-08-22 12:01	--------	d--------	C:\Programme\InterVideo
2006-08-22 11:47	--------	d--------	C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-22 00:44	--------	d--------	C:\Programme\Synaptics
2006-08-22 00:25	--------	d--------	C:\Programme\Outlook Express
2006-08-22 00:25	--------	d--------	C:\Programme\gs
2006-08-22 00:16	--------	d--------	C:\Programme\Intel
2006-08-22 00:10	--------	d--------	C:\Programme\Messenger
2006-08-21 22:31	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Mozilla
2006-08-21 22:27	--------	d--------	C:\Programme\Microsoft Visual Studio
2006-08-21 22:27	--------	d--------	C:\Programme\Microsoft Office
2006-08-21 22:27	--------	d--------	C:\Programme\Gemeinsame Dateien\DESIGNER
2006-08-21 22:26	--------	d--------	C:\Programme\Microsoft.NET
2006-08-21 22:26	--------	d--------	C:\Programme\Microsoft Works
2006-08-21 22:25	--------	d--------	C:\Programme\Microsoft Visual Studio 8
2006-08-21 22:25	--------	d--------	C:\Programme\Gemeinsame Dateien\System
2006-08-21 22:24	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\ICQLite
2006-08-21 22:21	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\AdobeUM
2006-08-21 22:01	--------	d--------	C:\Programme\Windows Media Player
2006-08-21 21:36	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Opera
2006-08-21 21:22	--------	d--------	C:\Programme\Zone Labs
2006-08-21 21:22	--------	d--------	C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-21 21:22	--------	d--------	C:\Programme\Gemeinsame Dateien\ODBC
2006-08-21 21:21	62	--ahs----	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\desktop.ini
2006-08-21 20:59	--------	d--------	C:\Programme\Movie Maker
2006-08-21 20:56	--------	d--------	C:\Programme\Windows NT
2006-08-21 20:56	--------	d--------	C:\Programme\NetMeeting
2006-08-21 20:44	--------	d--h-----	C:\Programme\Uninstall Information
2006-08-21 20:44	--------	d--------	C:\Dokumente und Einstellungen\_ajs\Anwendungsdaten\Identities
2006-08-21 20:39	--------	d--------	C:\Programme\xerox
2006-08-21 20:39	--------	d--------	C:\Programme\microsoft frontpage
2006-08-21 20:38	0	-rahs----	C:\MSDOS.SYS
2006-08-21 20:38	0	-rahs----	C:\IO.SYS
2006-08-21 20:38	0	--a------	C:\CONFIG.SYS
2006-08-21 20:38	0	---------	C:\AUTOEXEC.BAT
2006-08-21 20:37	--------	d--------	C:\Programme\Online-Dienste
2006-08-21 20:35	--------	d--------	C:\Programme\Gemeinsame Dateien\Dienste
2006-08-21 20:34	--------	d--------	C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-21 20:30	--------	d--h-----	C:\Programme\WindowsUpdate
2006-08-21 20:30	--------	d--------	C:\Programme\Online Services
2006-08-21 20:30	--------	d--------	C:\Programme\MSN
2006-08-21 20:30	--------	d--------	C:\Programme\ComPlus Applications
2006-08-21 20:29	--------	d--------	C:\Programme\MSN Gaming Zone
2006-08-21 14:26	16896	--a------	C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14	23040	--a------	C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14	128896	---------	C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-18 21:38	237568	---------	C:\WINDOWS\system32\oeph.dll
2006-08-18 21:38	1457152	---------	C:\WINDOWS\system32\mssrch.dll
2006-08-18 21:37	51712	---------	C:\WINDOWS\system32\msstrc.dll
2006-08-18 21:37	26112	---------	C:\WINDOWS\system32\rtffilt.dll
2006-08-18 21:37	203776	---------	C:\WINDOWS\system32\msshsq.dll
2006-08-18 21:37	186368	---------	C:\WINDOWS\system32\xmlfilter.dll
2006-08-18 21:37	152064	---------	C:\WINDOWS\system32\mssphtb.dll
2006-08-18 21:37	1496064	---------	C:\WINDOWS\system32\tquery.dll
2006-08-18 21:37	119808	--a------	C:\WINDOWS\system32\nlhtml.dll
2006-08-18 21:36	64512	---------	C:\WINDOWS\system32\propdefs.dll
2006-08-18 21:36	317952	---------	C:\WINDOWS\system32\mssph.dll
2006-08-18 21:36	278016	---------	C:\WINDOWS\system32\searchindexer.exe
2006-08-18 21:36	200704	---------	C:\WINDOWS\system32\searchprotocolhost.exe
2006-08-18 21:35	70656	---------	C:\WINDOWS\system32\searchfilterhost.exe
2006-08-18 21:35	50688	---------	C:\WINDOWS\system32\msscntrs.dll
2006-08-18 21:35	23040	---------	C:\WINDOWS\system32\msscb.dll
2006-08-18 21:34	98304	---------	C:\WINDOWS\system32\mssitlb.dll
2006-08-18 21:34	707584	---------	C:\WINDOWS\system32\propsys.dll
2006-08-18 21:34	34816	--a------	C:\WINDOWS\system32\mimefilt.dll
2006-08-18 21:34	31232	---------	C:\WINDOWS\system32\mssprxy.dll
2006-08-18 21:34	243712	---------	C:\WINDOWS\system32\srchadmin.dll
2006-08-18 21:34	193536	--a------	C:\WINDOWS\system32\offfilt.dll
2006-08-18 21:33	2048	---------	C:\WINDOWS\system32\oephRes.dll
2006-08-12 00:30	29968	--a------	C:\WINDOWS\system32\mdimon.dll
2006-08-11 23:09	36624	--a------	C:\WINDOWS\system32\FM20DEU.DLL
2006-08-11 20:52	33040	--a------	C:\WINDOWS\system32\FM20ENU.DLL
2006-08-11 20:52	1190664	--a------	C:\WINDOWS\system32\FM20.DLL
2006-07-27 15:25	679424	--a------	C:\WINDOWS\system32\inetcomm.dll
2006-07-26 14:34	22752	--a------	C:\WINDOWS\system32\spupdsvc.exe
2006-07-21 10:29	72704	--a------	C:\WINDOWS\system32\hlink.dll
2006-07-14 17:52	121856	---------	C:\WINDOWS\system32\xmllite.dll
2006-07-09 13:42	42920	--a------	C:\WINDOWS\system32\vsutil_loc0407.dll
 

((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Spamihilator"="\"C:\\Programme\\Spamihilator\\spamihilator.exe\""
"HDDHealth"="C:\\Programme\\HDD Health\\hddhealth.exe -wl"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"LaunchAp"="C:\\Programme\\Launch Manager\\LaunchAp.exe"
"HotkeyApp"="C:\\Programme\\Launch Manager\\HotkeyApp.exe"
"CtrlVol"="C:\\Programme\\Launch Manager\\CtrlVol.exe"
"Wbutton"="\"C:\\Programme\\Launch Manager\\Wbutton.exe\""
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"BigDog303"="C:\\WINDOWS\\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,c4,00,00,00,00,00,00,00,14,03,00,00,00,03,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,c5,00,00,00,00,00,00,00,15,03,00,00,00,03,\
  00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,c5,00,00,00,00,00,00,00,15,03,00,00,00,03,\
  00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoToolbarCustomize"=dword:00000000
"NoFileMenu"=dword:00000000
"NoSecurityTab"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\DisallowRun]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoSecurityTab"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ  msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll

 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\SyncBack Backup.job
 
Completion time: 27.09.2006 10:54:43.02 
ComboFix.txt

[Ruby]

Guten Morgen @ Mcbuddha

Schritt 1
Folge dieser Anleitung, um die Cookies in deinen Browsern zu leeren: bitte klicken.

Schritt 2
Lade das ClearProg herunter.
Führe es aus. Setze die Häkchen wie du es auf dem Bild siehst:

Das Programm löscht die Surfspuren des Browsers:
- unterstützte Browser: Internet Explorer, Netscape, Mozilla, FireFox und Opera

-> Cookies (mit Ausschlußmöglichkeit)
-> Verlauf
-> Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen
- Download-Listen des Netscape/Opera

Weiterhin können u.a. folgende Dinge gelöscht werden:
-> Papierkorb
- Dokumentenordner im Startmenü
-> Windows-Temp-Ordner
- Ausführen-Einträge im Startmenü
- Datei-Listen von MS Office-Programmen
- Datei-Listen des Windows Media Player und des RealPlayer
- eigene Ordner mit Filter (können selbst gewählt werden)

Schritt 3
Lade eine kostenlose Trialversion von CounterSpy runter (Deutsche Anleitung).

Update das Programm online.
Beende die Internet-Verbindung.
Starte deinen Rechner neu auf in den abgesicherten Modus (Anleitung).
Scanne deinen Rechner mit CounterSpy im abgesicherten Modus.

Stelle das Programm nach dem Scan so ein, dass es alles entfernt (-> Remove), was es gefunden hat.

Man kann nach dem Scan unter > Options wählen, was man mit der Malware machen will:
* Ignore
* Quarantine
* Remove

Wähle bei jeder einzelnen gefundenen Malware immer -> Remove.

Speichere das Logfile.
Starte den Rechner neu auf.

-> Poste bitte das 1. CounterSpy Logfile.

CounterSpy entfernt mit einem Durchgang immer nur einen Teil Malware aufeinmal vom System.

• Deaktiviere die Systemwiederherstellung,
• boote den Rechner,
• aktiviere die Systemwiederherstellung.
• Vergib einen vorläufigen Systempunkt.
• Verwende nun wieder CounterSpy,
• mit den gleichen Einstellungen > Options > Remove nach dem Scan.
• Speichere das Logfile und poste es.
• Mach das solange, bis CounterSpy nichts mehr findet.
• Boote den Rechner nach jedem Scan neu auf
• -> Zeige uns bitte alle CounterSpy Logfiles.

Das Programm hat keinen funktionierenden Uninstaller, verwende daher dieses Programm zum deinstallieren:
Uninstall Cleaner 1.0

Zeige uns bitte alle CounterSpy Logfiles und ein neues HJT-Log.

[mcbuddha]

Hallo,

ich habe alle Anweisungen befolgt, und konnte dann auch nach einem halben Tag die Counterspy Software updaten. Er hat nichts gefunden, deswegen weiss ich nicht was ich posten soll.

Also ist das Fazit, ich bin nicht mehr infiziert?

Grüße mcbuddha

[Ruby]

Hallo Mcbuddha

lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner". Häkchen raus bei der Yahoo Toolbar.

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm WinZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen,
hier gibst du "tagged as" und "infected as" ein:

-> jede Zeile in der "tagged as" steht.
-> jede Zeile in der "infected" steht,

markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

[mcbuddha]

Hallo Forum

Nach dem (erfolgreichen) e-Scan Update konnte ich auch keine tagged as oder infected Files in der log File aufspüren.

Meine HijackThis File:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 14:55:01, on 02.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\VM303_STI.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\HDD Health\hddhealth.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\DOKUME~1\_ajs\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft Office Outlook 2007 (Beta).lnk = ?
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1156187581149
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Grüße mcbuddha und vielen Dank für die Hilfe - es gibt Foren, da wird einem nicht so bereitwillig geholfen wenn man weniger Posts hat, als mp3's auf seiner Festplatte

[Speedy]

hi, sieht echt gut aus

lege diesen ordner C:\programme\regseeker an, download von regseeker in diesen ordner, entpacke nun das programm genau hier. starte nun das tool und wähle unter languages -> deutsch, und sichern vor löschen aktivieren.
lass nun einmal mit diesem tool die registry bereinigen, wenn die überprüfung fertig ist, wähle alle markieren und hier select all green items
nun mit der echten maustaste ins feld, und aus dem menü ausgewählte einträge exportieren und dann ausgewählte einträge löschen.

nicht dringend, aber einmal wöchentlich einen der nachfolgenden onlinescanner über das system jagen!

• panda-aktivscan
• housecall für den ie
• housecall für den ff
• kaspersky
• bitdefender
• mcafee
• f-secure
• ca trust
• authentium
• symantec
• arcabit
• pestpatrol ein produkt der ca gruppe
• a-squared
• ewido