b.exe trojaner?

[Lukesx]

So wieder da.. Also soll ich jetzt wieder Hijack posten.. Firefox wurde irgendwie gelöscht bin per internet explorer drin.

[bLacK_dRaSanG]

So wieder da.. Also soll ich jetzt wieder Hijack posten.. Firefox wurde irgendwie gelöscht bin per internet explorer drin.

Den Logfile von Combofix und Hijackthis, hätte ich gerne .

Das Logfile von Combofix befindet sich unter C:\Combofix.txt .

[Lukesx]

Also erstmal HiJack..

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:05, on 24.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\I-Tunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
E:\Neuer Ordner\firefox.exe
E:\HiJackThis\Abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\I-Tunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ADILOOK Deutsche Version auf Laufwerk C.LNK = C:\COKTEL\ADDY4\ADILOOK.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - E:\YouTube Video Converter\upod_link.HTM
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1225481841
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166380946062
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c98e1042d1d0fc) (gupdate1c98e1042d1d0fc) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O24 - Desktop Component 0: (no name) - http://i82.photobucket.com/albums/j271/originalmetalmaiden/undertaker.jpg
O24 - Desktop Component 1: (no name) - http://students.ithaca.edu/~bwolfe1/finalproject/images/batista.jpg

--
End of file - 7602 bytes

Und hier das Ergebnis von Combo Fix:

Code:

ComboFix 09-09-23.02 - Lukas 24.09.2009 20:20.1.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.959.533 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukas\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokumente und einstellungen\Lukas\Cookies\MM2048.DAT
c:\programme\AskSearch\bin\DefaultSearch.dll
c:\windows\msa.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2009-08-24 bis 2009-09-24  ))))))))))))))))))))))))))))))
.

2009-09-21 16:43 . 2009-09-09 05:50	545	----a-w-	c:\windows\UC.PIF
2009-09-21 16:43 . 2009-09-09 05:50	545	----a-w-	c:\windows\RAR.PIF
2009-09-21 16:43 . 2009-09-09 05:50	545	----a-w-	c:\windows\PKZIP.PIF
2009-09-21 16:43 . 2009-09-09 05:50	545	----a-w-	c:\windows\PKUNZIP.PIF
2009-09-21 16:43 . 2009-09-09 05:50	545	----a-w-	c:\windows\NOCLOSE.PIF
2009-09-21 16:43 . 2009-09-09 05:50	545	----a-w-	c:\windows\LHA.PIF
2009-09-21 16:43 . 2009-09-21 16:43	--------	d-----w-	c:\dokumente und einstellungen\Lukas\Anwendungsdaten\GHISLER
2009-09-21 16:43 . 2009-09-09 05:50	545	----a-w-	c:\windows\ARJ.PIF
2009-09-10 13:58 . 2009-06-21 21:45	153088	-c----w-	c:\windows\system32\dllcache\triedit.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 15:20 . 2009-02-13 18:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-09-23 19:01 . 2006-12-17 19:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-09-11 13:00 . 2007-10-16 13:08	--------	d-----w-	c:\programme\Norton Security Scan
2009-08-27 19:42 . 2007-06-30 16:41	--------	d-----w-	c:\dokumente und einstellungen\Lukas\Anwendungsdaten\Skype
2009-08-05 08:59 . 2004-08-04 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 2004-08-04 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-04 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2008-12-07 16:31 . 2008-12-07 16:30	1851544	----a-w-	c:\programme\install_flash_player.exe
.

------- Sigcheck -------

[-] 2008-04-14 . F162D52EC8FEF363659AA6C667CE6989 . 724992 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2008-04-14 . F162D52EC8FEF363659AA6C667CE6989 . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll
[7] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\VistaMizer\old\comctl32.dll
[7] 2008-04-14 . 3C93CE6C6985C55952B7BE6673E9FD15 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[-] 2006-08-25 . EE82D1393169AC6BDF6016F4EA8D2B79 . 617472 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll
[-] 2006-08-25 . F64451D07B9368B46AB31172D56D1804 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
[7] 2004-08-04 . 2CF914215226B3F7FA1AE4A47E4D261C . 611328 . . [5.82] . . c:\windows\$NtUninstallKB923191$\comctl32.dll
[7] 2004-08-04 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[7] 2004-08-04 . 9D0F57B9C65BF8A07DB655A9ED6EB2EE . 1050624 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

[-] 2008-04-14 . BF517C3FA60065DF6D97744648602957 . 589312 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . BF517C3FA60065DF6D97744648602957 . 589312 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\user32.dll
[-] 2007-03-08 . 78785EFF8CB90CEC1862A4CCFD9A3C3A . 579584 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 492E166CFD26A50FB9160DB536FF7D2B . 579072 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll
[-] 2005-03-02 . 3751D7CF0E0A113D84414992146BCE6A . 578560 . . [5.1.2600.2622] . . c:\windows\$NtUninstallKB925902$\user32.dll
[7] 2004-08-04 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB890859$\user32.dll

[-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . AD37DF3FB8F168E42C09B77B487F6812 . 552448 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\winlogon.exe
[7] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . E36DF1443AC667E81FC1764DC3AD763E . 1555456 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . E36DF1443AC667E81FC1764DC3AD763E . 1555456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\VistaMizer\old\explorer.exe
[-] 2007-06-13 . 64D320C0E301EEDC5A4ADBBDC5024F7F . 1036288 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2008-04-14 . 7270F0B822CB67F0C32BEF7FB00CA4D4 . 25088 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-14 . 7270F0B822CB67F0C32BEF7FB00CA4D4 . 25088 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\VistaMizer\old\ctfmon.exe
[7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 68856]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"WorksFUD"="c:\programme\Microsoft Works\wkfud.exe" [2000-07-12 24576]
"Microsoft Works Portfolio"="c:\programme\Microsoft Works\WksSb.exe" [2000-07-12 311350]
"Microsoft Works Update Detection"="c:\programme\Microsoft Works\WkDetect.exe" [2000-07-21 28739]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-02-16 185632]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="e:\i-tunes\iTunesHelper.exe" [2009-04-02 342312]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2004-10-27 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 25088]

c:\dokumente und einstellungen\Monika\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-7-14 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Erinnerungen in Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2000-7-12 24633]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.icd"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"e:\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"=
"e:\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"=
"e:\\World of Warcraft\\BackgroundDownloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\I-Tunes\\iTunes.exe"=
"e:\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"e:\\Wrath of the lich king Zocken\\WoW-3.0.8.9506-to-3.0.9.9551-enGB-downloader.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"=
"e:\\I-Tunes\\iTunesHelper.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [25.06.2007 15:09 108768]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [01.07.2008 19:36 222456]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);c:\windows\system32\drivers\TDSLAdap.sys [18.12.2006 20:38 47616]
S2 gupdate1c98e1042d1d0fc;Google Update Service (gupdate1c98e1042d1d0fc);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2009 21:21 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [25.06.2007 15:07 1527900]
S3 TDSLProtocol;T-DSL-Protocol  (T-Online);c:\windows\system32\drivers\TDSLProt.sys [18.12.2006 20:38 6688]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [25.06.2007 15:08 544768]
.
Inhalt des "geplante Tasks" Ordners

2009-09-24 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-06-06 16:49]

2009-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-13 19:21]

2009-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-13 19:21]

2009-09-11 c:\windows\Tasks\Norton Security Scan.job
- c:\programme\Norton Security Scan\Nss.exe [2007-04-19 20:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Download with Xilisoft YouTube Video Converter - e:\youtube video converter\upod_link.HTM
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
HKCU-Run-DAEMON Tools Lite - e:\call of duty 5\Excel Gruppenarbeit\DAEMON Tools Lite\daemon.exe
HKLM-Run-WinampAgent - e:\winamp\winampa.exe
AddRemove-3D Online Snooker_is1 - e:\snooker\3D Online Snooker\unins000.exe
AddRemove-4_is1 - e:\deskmarker\DeskMarker\unins000.exe
AddRemove-Age of Empires - c:\programme\Microsoft Games\Age of Empires\Uninstal.exe
AddRemove-Age of Empires 2.0 - c:\programme\Microsoft Games\Age of Empires II\UNINSTAL.EXE
AddRemove-Age of Empires Expansion 1.0 - c:\programme\Microsoft Games\Age of Empires\UNINSTX.EXE
AddRemove-BearShare - c:\programme\BearShare Applications\BearShare\UninstallSurvey.exe
AddRemove-BearShare MediaBar - c:\programme\BearShare applications\BearShare MediaBar\Uninstall.exe
AddRemove-Bounci Madness 2.0 - e:\bounci madness\Uninstal.exe
AddRemove-Bus Simulator 2008 Demo_is1 - e:\bus\Bus Simulator 2008 Demo\unins000.exe
AddRemove-Bus Simulator Deluxe - e:\bus\Bus Simulator Deluxe\Uninstall.exe
AddRemove-Feed The Snake_is1 - e:\feedthesnake\unins000.exe
AddRemove-Hamachi - e:\\uninstall.exe
AddRemove-HijackThis - e:\hijackthis\HijackThis.exe
AddRemove-Judenbuche - c:\programme\Driftwood\Judenbuche\UNWISE.EXE
AddRemove-Mozilla Firefox (3.5.3) - c:\dokumente und einstellungen\Lukas\Lokale Einstellungen\Temp\7zS60.tmp\uninstall\helper.exe
AddRemove-Robin de los Bosques - La Leyenda de Sherwood - e:\progra~1\WANADO~1\ROBIND~1\UNWISE.EXE
AddRemove-Robin Hood - Die Legende von Sherwood - e:\progra~1\WANADO~1\ROBINH~1\UNWISE.EXE
AddRemove-SCREEN2EXE_is1 - c:\programme\SCREEN2EXE\unins000.exe
AddRemove-Sudoku - Superbox - c:\programme\Sudoku - Superbox\unstall.exe
AddRemove-Tennis Elbow 2009 - c:\dokumente und einstellungen\Lukas\Desktop\Tennis Elbow 2009\uninst.exe
AddRemove-Totalcmd - e:\entpacken\totalcmd\tcuninst.exe
AddRemove-TVUPlayer - c:\programme\TVUPlayer\uninst.exe
AddRemove-Vision-Patch 2009_is1 - e:\konami\Pro Evolution Soccer 2009\unins000.exe
AddRemove-Winamp - e:\winamp\UninstWA.exe
AddRemove-{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111543617} - c:\programme\ICQ Spiele\Backspin Billiards\Uninstall.exe
AddRemove-{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113801860} - c:\programme\ICQ Spiele\Virtual Pool 3 Home Edition\Uninstall.exe
AddRemove-{D560A981-FEB3-42F0-A61A-13E9528E0C51}_is1 - c:\gtr2\Support\unins000.exe
AddRemove-sc09-DE_SEVENONE_MAIN - c:\games\Big Pizza Ski Challenge 2009\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-24 20:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-484763869-842925246-725345543-1006\RemoteAccess\Profile\*Àý*Àý˜äÊ*‡ÏŸ|pÕ½|]
"EnableAutodisconnect"=dword:00000001
"EnableExitDisconnect"=dword:00000001
"DisconnectIdleTime"=dword:00000014

[HKEY_USERS\S-1-5-21-484763869-842925246-725345543-1006\Software\SecuROM\License information*]
"datasecu"=hex:92,29,53,69,27,26,15,ad,d5,8f,95,1c,73,1b,99,aa,0d,6d,b0,aa,1a,
   0e,a8,9c,95,6d,96,66,a4,23,2a,ba,e6,ff,a5,ca,51,ef,1c,22,1b,6b,b5,b0,11,f4,\
"rkeysecu"=hex:9b,04,a8,92,08,fb,4f,36,8b,5e,a1,13,bb,bb,01,d1
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(948)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\psbase.dll
.
Zeit der Fertigstellung: 2009-09-24 20:28
ComboFix-quarantined-files.txt  2009-09-24 18:27

Vor Suchlauf: 7.091.130.368 Bytes frei
Nach Suchlauf: 8.379.113.472 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

225	--- E O F ---	2009-09-10 20:19

Ganz schön viel^^

[bLacK_dRaSanG]

Lade folgende Dateien mal auf VirusTotal - Free Online Virus and Malware Scan hoch und poste auch wieder das Ergebnis, falls was rotes angezeigt wird .

c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\psbase.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll

[Lukesx]

Okay mache ich.. Also ich habe diesen threat auch mal Bei der online seite von HiJack hochgeladen, da kommen jetzt ausschließliczh grüne haken! Vorher ganz viel rot virus etc


ich bin dabei, das erste hat schonmal keinen roten Eintrag, aber die dateien sind beim durchsuchen schwer zu finden^^

[bLacK_dRaSanG]

Okay mache ich.. Also ich habe diesen threat auch mal Bei der online seite von HiJack hochgeladen, da kommen jetzt ausschließliczh grüne haken! Vorher ganz viel rot virus etc

So sollte es auch sein und bleiben ^^.

mfg
bLacK_dRaSanG

[Lukesx]

Jawoll^^ Bin jetzt fertig! Nicht EINE rote Markierung Nirgends bei keiner der Dateien!

Bin ich jetzt wieder gesäubert?^^

[bLacK_dRaSanG]

Jawoll^^ Bin jetzt fertig! Nicht EINE rote Markierung Nirgends bei keiner der Dateien!

Bin ich jetzt wieder gesäubert?^^

Deine Frage, werde ich dann mal bejahend .

PS: Die Datei b.exe, c.exe etc. befinden sich auch noch auf dem PC. Allerdings sind sie ohne msa.exe wirkungslos . Du musst sie nur noch löschen .

Wie allerdings der Firefox gelöscht wurde kann ich nicht sagen. In allen Logfiles sind keine Reaktionen auf Firefox vermerkt. Installiere es einfach wieder neu .

mfg
bLacK_dRaSanG

[Lukesx]

Schon geschehen, Firefox ist wieder neu installiert, und alle lesezeichen und sowas sind auch wieder, da vllt. wurde das nur verschoben.. Und deswegen konnte er das nicht öffnen.. Ist jedenfalls wunderbar..

Im Task Manager sind jetzt auch viel weniger Anwendungen, und vor allem nicht msa.exe, b.exe oder c.exe..

Und diese 2 kann ich jetzt bedenkenlos einfach vom Laufwerk löschen?

[bLacK_dRaSanG]

Schon geschehen, Firefox ist wieder neu installiert, und alle lesezeichen und sowas sind auch wieder, da vllt. wurde das nur verschoben.. Und deswegen konnte er das nicht öffnen.. Ist jedenfalls wunderbar..

Im Task Manager sind jetzt auch viel weniger Anwendungen, und vor allem nicht msa.exe, b.exe oder c.exe..

Und diese 2 kann ich jetzt bedenkenlos einfach vom Laufwerk löschen?

Ja, natürlich, die Dateileichen können weg .

mfg
bLacK_dRaSanG

[Lukesx]

Heftig, Ich muss mich jetzt erstmal GANZ GANZ GANZ Doll bei dir bedanken, das hätte ich alleine niemals hinbekommen.. Es ist grade nen richtig geiles gefühl zu wissen das der PC "rein" ist^^..
Es ist wirklich schön das es so freundliche internet user gibt, die leuten, die sie eigentlich nicht kennen, nur um deren wohl 4 stunden lang helfen..

Göttlich, Danke Vielmals!! :-D:-)

mfg Lukesx

PS: Joa, eins noch^^ Ich finde jetzt in C:\Qoobox\Qurantine\C\Windows die Datei: msa.exe.vir
Ist das sozusagen die gefixxte msa.exe?

[bLacK_dRaSanG]

Heftig, Ich muss mich jetzt erstmal GANZ GANZ GANZ Doll bei dir bedanken, das hätte ich alleine niemals hinbekommen.. Es ist grade nen richtig geiles gefühl zu wissen das der PC "rein" ist^^..
Es ist wirklich schön das es so freundliche internet user gibt, die leuten, die sie eigentlich nicht kennen, nur um deren wohl 4 stunden lang helfen..

Göttlich, Danke Vielmals!! :-D:-)

mfg Lukesx

PS: Joa, eins noch^^ Ich finde jetzt in C:\Qoobox\Qurantine\C\Windows die Datei: msa.exe.vir
Ist das sozusagen die gefixxte msa.exe?

Kein Problem

Falls du Hijackthis nun los werden möchtest, man kann es unter Systemsteuerung --> Software löschen.

Combofix hat auch noch Kopien der gelöschten Dateien erstellt, diese befinden sich in C:\QooBox\.
Diesen Ordner solltest du auch noch löschen .

Dann wünsche ich dir noch viel Spaß mit deinem PC, bist du den Neuen hast .

mfg
bLacK_dRaSanG

[Lukesx]

Okay danke nochmal .. bye

[Capt. Clark]

@DX-CLark:

Bei jedem Fund steht, es wurde keine Action (vom Benutzer) ausgewählt.
Entweder du lässt es noch mal durchlaufen und lässt es dann löschen oder du machst es selbst:

Datei löschen:

Code:

C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

Registry-Einträge:

Code:

HKEY_CLASSES_ROOT\xml.xml 
 
HKEY_CLASSES_ROOT\xml.xml.1 
 
HKEY_CLASSES_ROOT\Typelib
\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} 
 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d}
 
HKEY_CURRENT_USER\SOFTWARE\NordBull 
 
HKEY_CURRENT_USER\SOFTWARE\XML
 
HKEY_CURRENT_USER\SOFTWARE\poprock

Um in der Registry zu kommen. Gebe in dem Suchfeld im Starmenü "Regedit" und lasse es Admin ausführen. Im Fenster suchst du dann die aufgeführten Einträge und löschst diese .

Nach einem Neustart, hätte ich dann gerne noch mal ein Hijackthis-Logfile .

mfg
bLacK_dRaSanG

wie finde ich die denn in der regedit wenn ich auf bearbeiten suchen klicke und "HKEY_CLASSES_ROOT\xml.xml" eingebe dauert das voll lange

[bLacK_dRaSanG]

wie finde ich die denn in der regedit wenn ich auf bearbeiten suchen klicke und "HKEY_CLASSES_ROOT\xml.xml" eingebe dauert das voll lange

Hi, an der rechten Seite findest du eine Navigationsleiste. .
Mit dieser kannst du auch Navigieren.
Könnte auch sein, dass bei dir Abkürzungen benutzt werden.

HKEY_CLASSES_ROOT = HKCR
HKEY_CURRENT_USER = HKCU

Es lässt sich wie eine Ordneransicht navigieren. Mit einem rechtsklick auf dem Eintrag und auf "löschen", entfernst du den entsprechenden Eintrag.

mfg
bLacK_dRaSanG

[Capt. Clark]

ja aber ich kann keine xml.xml finden es geht nur bis
"HKEY_CLASSES_ROOT\xml\"
in diesem ordner sind nur die unterordner "CLSID" und "OLEScript"

[bLacK_dRaSanG]

ja aber ich kann keine xml.xml finden es geht nur bis
"HKEY_CLASSES_ROOT\xml\"
in diesem ordner sind nur die unterordner "CLSID" und "OLEScript"

Es wurde auch kein "Ordner" xml aufgeführt. Sonder die xml.xml und xml.xml.1 befinden sich schon direkt in HKEY_CLASSES_ROOT, wenn du HKCR anklickst, sollten sie auf der linken Seite aufgeführt werden .

[Capt. Clark]

also das sieht bei mir wie folgt aus:

rechts wo steht "standard" muss ich das löschen?

[bLacK_dRaSanG]

also das sieht bei mir wie folgt aus:

rechts wo steht "standard" muss ich das löschen?

Nene, das nicht. Ich lasse am besten noch mal Malwarebytes durchlaufen und wähle nach dem Durchlauf die entsprechende Aktion für die Entfernung der Einträge .

[Capt. Clark]

also ich habe noch mal malwarebytes laufen lassen es wurden keine infizierten dateien gefunden:

Code:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2861
Windows 6.0.6002 Service Pack 2

26.09.2009 12:30:57
mbam-log-2009-09-26 (12-30-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 315699
Laufzeit: 1 hour(s), 17 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)