Hilfe ich krieg die Trojaner nich weg :/

**asd1561** · 2008-05-27, 13:22

Moin moin,
Ich hab grade vor 2 Wochen mein System neu aufgesetzt und nun hab ich mir irgendwo/irgendwie Trojaner/AD ware eingefangen. Ich hab schon diverse AV-Programme durchlaufen lassen aber irgendwie geht das System nur noch mehr den Bach runter. Ich hab mich mal hier ein bisschen durchs Forum gekämpft und auf eigene Faust mal Combofix und dann Highjack this durchlaufen lassen. Könntet ihr mir evtl helfen das auszuwerten und mir zu sagen ob da nochw as zu retten ist?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:57, on 27.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BM375e4d02] Rundll32.exe "C:\WINDOWS\system32\ynjpqabf.dll",s
O4 - HKLM\..\Run: [346d7e9e] rundll32.exe "C:\WINDOWS\system32\eqfpsbhl.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

--
End of file - 4755 bytes

ComboFix 08-05-26.2 - The Dude 2008-05-27 12:38:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.263 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\The Dude\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\Programme\inetget2
C:\Programme\network monitor
C:\Programme\network monitor\netmon.exe
C:\Programme\Spcron
C:\Programme\Spcron\Spc.dll
C:\Programme\Svconr
C:\Programme\Temporary
C:\WINDOWS\BM375e4d02.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\Fonts\'
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\jqhapxum.ini
C:\WINDOWS\system32\LUxIlnpo.ini
C:\WINDOWS\system32\LUxIlnpo.ini2
C:\WINDOWS\system32\mlxueegc.exe
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\opnlIxUL.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\rkshnsqf.ini
C:\WINDOWS\system32\ualyapnb.ini
C:\WINDOWS\system32\wajoosdm.exe
C:\WINDOWS\system32\zxdnt3d.cfg

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR
-------\Service_Network Monitor

((((((((((((((((((((((( Dateien erstellt von 2008-04-27 bis 2008-05-27 ))))))))))))))))))))))))))))))
.

2008-05-27 12:34 . 2008-05-27 12:35 <DIR> d-------- C:\Downloads
2008-05-26 17:04 . 2008-05-26 17:04 93,696 --a------ C:\WINDOWS\system32\bnpaylau.dll
2008-05-26 16:55 . 2008-05-26 16:55 117,760 --a------ C:\WINDOWS\system32\cnhuihkq.dll
2008-05-26 16:50 . 2008-05-26 16:50 108,544 --a------ C:\WINDOWS\system32\eyefylpf.dll
2008-05-26 15:43 . 2008-05-27 03:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-26 14:52 . 2008-05-26 14:52 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\WINDOWS
2008-05-26 14:52 . 1996-01-09 10:38 283,648 --a------ C:\WINDOWS\uninst.exe
2008-05-26 14:18 . 2008-05-26 14:18 95,833 --a------ C:\WINDOWS\system32\{7ad995d0-28da-5052-99be-c8bd00b5f30a}.dll-uninst.exe
2008-05-26 14:14 . 2008-05-26 15:39 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-05-26 14:14 . 2008-05-26 15:39 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-05-26 14:11 . 2008-05-26 14:11 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-05-26 14:11 . 2008-05-27 03:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-26 14:11 . 2008-05-27 12:48 1,401,376 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-26 14:11 . 2008-05-27 12:48 20,768 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-26 14:11 . 2008-05-27 12:44 10,544 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-26 14:11 . 2008-05-27 12:44 2,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-26 14:10 . 2008-05-26 14:10 <DIR> d-------- C:\kav
2008-05-26 13:40 . 2008-05-26 13:40 117,760 --a------ C:\WINDOWS\system32\yggtmxpk.dll
2008-05-26 13:39 . 2008-05-26 13:39 108,544 --a------ C:\WINDOWS\system32\llyqactj.VIR
2008-05-26 13:39 . 2008-05-26 13:39 28,160 --a------ C:\WINDOWS\system32\ddcAssqq.dll
2008-05-26 13:38 . 2008-05-26 13:38 298,308 --a------ C:\WINDOWS\system32\gside.exe
2008-05-26 13:38 . 2008-05-26 13:38 88,961 --a------ C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-05-26 03:47 . 2008-05-26 03:47 9,662 --a------ C:\WINDOWS\system32\pinkip.ico
2008-05-25 23:26 . 2008-05-25 23:26 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2008-05-25 23:23 . 2008-05-25 23:23 57,344 ---hs---- C:\Dokumente und Einstellungen\The Dude\lsass.exe
2008-05-25 23:22 . 2008-05-25 23:22 <DIR> d-------- C:\WINDOWS\system32\vntiho18
2008-05-25 23:22 . 2008-05-26 14:54 <DIR> d-------- C:\Temp
2008-05-25 23:22 . 2008-05-25 23:22 28,160 --a------ C:\WINDOWS\system32\xxyxWMgE.dll
2008-05-24 14:59 . 2008-05-24 14:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-23 20:31 . 2008-05-23 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-05-23 20:29 . 2008-05-23 20:29 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-05-23 11:33 . 2008-05-27 12:35 <DIR> d-------- C:\Programme\FlashGet
2008-05-23 11:33 . 2004-08-03 23:14 359,040 --a------ C:\WINDOWS\system32\drivers\tcpip.sys.flg
2008-05-20 23:13 . 2008-05-20 23:13 32,768 --a------ C:\WINDOWS\system32\vntiho18\vntiho182328.exe
2008-05-13 23:25 . 2008-05-13 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\ICQ Toolbar
2008-05-13 21:13 . 2008-05-13 21:13 <DIR> d-------- C:\Programme\Moras 1.74
2008-05-13 21:12 . 2008-05-27 00:45 <DIR> d-------- C:\Programme\eMule
2008-05-12 22:48 . 2008-05-12 22:54 <DIR> d-------- C:\Programme\DivX
2008-05-12 22:48 . 2008-05-12 22:48 672 --a------ C:\WINDOWS\mozver.dat
2008-05-12 15:43 . 2008-05-12 12:43 68,096 --a------ C:\WINDOWS\b155.exe
2008-05-12 12:19 . 2008-05-12 09:19 73,728 --a------ C:\WINDOWS\b156.exe
2008-05-06 12:06 . 2008-05-06 12:06 <DIR> d-------- C:\Programme\Audacity
2008-05-06 11:52 . 2008-05-06 11:52 <DIR> d-------- C:\Programme\NCH Swift Sound
2008-05-06 11:52 . 2008-05-06 11:52 <DIR> d-------- C:\Programme\NCH Software
2008-05-06 11:52 . 2008-05-06 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\Recordpad
2008-05-06 11:52 . 2008-05-06 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\NCH Swift Sound
2008-05-06 11:52 . 2008-05-06 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2008-05-05 21:40 . 2008-05-05 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\DaocTB
2008-05-05 20:17 . 2008-05-27 01:16 <DIR> d-------- C:\Programme\ICQToolbar
2008-05-05 20:16 . 2008-05-05 21:36 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\ICQ
2008-05-05 20:15 . 2008-05-05 21:36 <DIR> d-------- C:\Programme\ICQ6
2008-05-05 16:15 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-05-05 16:15 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-05-05 02:36 . 2008-05-05 02:36 <DIR> d-------- C:\Programme\DNA
2008-05-05 02:36 . 2008-05-05 02:36 <DIR> d-------- C:\Programme\BitTorrent
2008-05-05 02:36 . 2008-05-27 12:44 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\DNA
2008-05-05 02:36 . 2008-05-25 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\BitTorrent
2008-05-05 02:28 . 2008-05-05 02:28 <DIR> d-------- C:\Programme\uTorrent
2008-05-05 02:28 . 2008-05-05 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\uTorrent
2008-05-05 02:21 . 2008-05-25 23:43 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Shared
2008-05-05 02:21 . 2008-05-25 23:43 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Incomplete
2008-05-05 02:21 . 2008-05-26 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\FrostWire
2008-05-04 23:12 . 2008-05-04 23:12 <DIR> d-------- C:\Programme\Moras 2.4
2008-05-04 23:08 . 2008-05-04 23:08 <DIR> d-------- C:\Programme\Moras 1.69
2008-05-04 15:35 . 2008-05-04 15:39 <DIR> d-------- C:\Programme\Moras 1.75
2008-05-04 02:46 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-04 02:45 . 2008-05-04 13:59 <DIR> d-------- C:\Programme\Java
2008-05-04 02:45 . 2008-05-04 02:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-04 02:44 . 2008-05-26 00:02 <DIR> d-------- C:\Programme\FrostWire
2008-05-04 02:44 . 2008-05-04 02:44 <DIR> d-------- C:\Programme\AskSBar
2008-05-03 23:19 . 2008-05-03 23:19 <DIR> d-------- C:\Programme\DAOC-Charplan
2008-05-03 23:14 . 2008-05-26 20:47 <DIR> d-------- C:\DAoC-Irc
2008-05-03 23:13 . 2008-05-27 12:26 <DIR> d-------- C:\Programme\Uthgard Launcher
2008-05-03 11:29 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-03 11:28 . 2008-05-03 11:31 <DIR> d-------- C:\Programme\Miranda IM
2008-05-03 10:48 . 2008-05-03 16:33 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Contacts
2008-05-03 00:31 . 2008-05-13 23:24 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-05-03 00:28 . 2008-05-03 00:28 <DIR> d-------- C:\Programme\Veoh Networks
2008-05-02 23:32 . 2008-05-02 23:32 268 --ah----- C:\sqmdata00.sqm
2008-05-02 23:32 . 2008-05-02 23:32 244 --ah----- C:\sqmnoopt00.sqm
2008-05-02 23:29 . 2008-05-02 23:29 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-02 23:06 . 2008-05-02 23:28 <DIR> d-------- C:\Programme\Windows Live
2008-05-02 23:06 . 2008-05-02 23:26 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-05-02 23:05 . 2008-05-02 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-05-02 02:33 . 2008-05-02 02:33 <DIR> d-------- C:\Programme\Winamp
2008-05-02 02:33 . 2008-05-27 12:34 95 --a------ C:\WINDOWS\winamp.ini
2008-05-02 00:08 . 2008-05-02 00:15 <DIR> d-------- C:\ui
2008-05-01 23:42 . 2005-01-19 21:40 516,096 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-05-01 23:29 . 2004-08-04 00:57 870,784 --a--c--- C:\WINDOWS\system32\dllcache\ati3d1ag.dll
2008-05-01 23:29 . 2004-08-04 00:57 870,784 --a------ C:\WINDOWS\system32\ati3d1ag.dll
2008-05-01 23:29 . 2004-08-04 00:57 377,984 --a--c--- C:\WINDOWS\system32\dllcache\ati2dvaa.dll
2008-05-01 23:29 . 2004-08-04 00:57 377,984 --a------ C:\WINDOWS\system32\ati2dvaa.dll
2008-05-01 23:29 . 2004-08-04 00:57 32,768 --a--c--- C:\WINDOWS\system32\dllcache\ativtmxx.dll
2008-05-01 23:29 . 2004-08-04 00:57 32,768 --a------ C:\WINDOWS\system32\ativtmxx.dll
2008-05-01 23:29 . 2004-08-04 00:58 23,040 --a--c--- C:\WINDOWS\system32\dllcache\ativmvxx.ax
2008-05-01 23:29 . 2004-08-04 00:58 23,040 --a------ C:\WINDOWS\system32\ativmvxx.ax
2008-05-01 23:29 . 2004-08-04 00:58 9,728 --a--c--- C:\WINDOWS\system32\dllcache\ativdaxx.ax
2008-05-01 23:29 . 2004-08-04 00:58 9,728 --a------ C:\WINDOWS\system32\ativdaxx.ax
2008-05-01 23:22 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-05-01 23:21 . 2008-05-01 23:35 10 --a------ C:\WINDOWS\WININIT.INI
2008-05-01 23:20 . 2008-05-01 23:21 <DIR> d-------- C:\Programme\Directx
2008-05-01 23:14 . 2008-05-01 23:14 <DIR> d-------- C:\Programme\RamBooster 2.0
2008-05-01 22:55 . 2008-05-01 22:59 <DIR> d-------- C:\Programme\CatSkin
2008-05-01 22:47 . 2008-05-02 02:35 <DIR> d-------- C:\Programme\DAoC Portal
2008-05-01 22:47 . 2008-05-01 22:47 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\teamspeak2
2008-05-01 22:47 . 2008-05-01 23:03 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\DAoC Portal
2008-05-01 22:46 . 2008-05-01 22:47 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-05-01 22:46 . 2008-05-01 22:46 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-05-01 22:39 . 2008-05-01 22:39 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-05-01 22:39 . 2008-05-01 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\ATI
2008-05-01 22:39 . 2008-05-01 22:39 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-05-01 22:39 . 2008-05-01 22:39 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-05-01 22:36 . 2008-05-01 22:36 <DIR> d-------- C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\Electronic Arts
2008-05-01 21:00 . 2008-05-01 23:42 <DIR> d-------- C:\Programme\ATI Technologies
2008-05-01 20:59 . 2008-05-01 20:59 <DIR> d-------- C:\ATI
2008-05-01 20:39 . 2008-05-01 20:40 <DIR> d-------- C:\Programme\Realtek AC97
2008-05-01 20:39 . 2008-05-13 23:26 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-05-01 20:39 . 2008-05-01 21:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-01 20:39 . 2006-11-17 05:40 18,804,736 --a------ C:\WINDOWS\system32\alsndmgr.cpl
2008-05-01 20:39 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2008-05-01 20:39 . 2007-04-16 15:28 577,536 --a------ C:\WINDOWS\soundman.exe
2008-05-01 20:39 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-05-01 20:39 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2008-05-01 20:39 . 2006-10-18 02:53 147,456 --a------ C:\WINDOWS\system32\RtlCPAPI.dll
2008-05-01 20:39 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 11:39 37,376 ----a-w C:\WINDOWS\mrofinu1188.exe
2008-05-25 21:23 687,592 ----a-w C:\WINDOWS\system32\atmtd.dll
2008-05-25 21:23 63,902 ----a-w C:\WINDOWS\system32\{1b50426c-d21b-abcf-2bc2-3b2d999c19e6}.dll-uninst.exe
2008-05-25 21:23 37,376 ----a-w C:\WINDOWS\mrofinu1188.exe.tmp
2008-05-25 21:23 37,376 ----a-w C:\WINDOWS\mrofinu1000106.exe
2008-05-01 17:03 --------- d-----w C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\MSN6
2008-05-01 17:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-05-01 15:53 --------- d-----w C:\Dokumente und Einstellungen\The Dude\Anwendungsdaten\Talkback
2008-05-01 15:39 --------- d-----w C:\Programme\microsoft frontpage
2008-05-01 15:37 --------- d-----w C:\Programme\Online-Dienste
2008-05-01 15:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-31 21:25 831,488 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-03-31 21:25 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-03-31 21:25 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-03-21 20:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-03-21 20:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-03-21 20:30 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-03-21 20:30 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-03-21 20:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-03-21 20:28 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-03-21 20:28 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-03-21 20:28 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-03-21 20:28 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-03-21 20:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-03-21 20:28 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-03-05 14:03 479,752 ----a-w C:\WINDOWS\system32\XAudio2_0.dll
2008-03-05 14:03 238,088 ----a-w C:\WINDOWS\system32\xactengine3_0.dll
2008-03-05 14:00 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_3.dll
2008-03-05 13:56 3,786,760 ----a-w C:\WINDOWS\system32\D3DX9_37.dll
2008-03-05 13:56 1,420,824 ----a-w C:\WINDOWS\system32\D3DCompiler_37.dll
2001-11-23 10:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2005-07-29 14:24 472 --sha-r C:\WINDOWS\Ymx1Yg\sAUYs0.vbs
.

------- Sigcheck -------

2001-08-18 12:00 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2004-08-03 23:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3095D50F-F1BA-4BBC-A54D-819EEB7E0898}]
2008-05-25 23:22 28160 --a------ C:\WINDOWS\system32\xxyxWMgE.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bee69bf0-d0e3-4f43-a4b5-63dbb6dc3973}]
2008-05-26 16:55 117760 --a------ C:\WINDOWS\system32\cnhuihkq.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= "C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL" [2008-05-04 02:44 267592]

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL [2008-05-04 02:44 267592]

[HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Uniblue RegistryBooster 2"="C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe" [ ]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-05-05 02:36 289088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-19 21:40 339968]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"346d7e9e"="C:\WINDOWS\system32\bnpaylau.dll" [2008-05-26 17:04 93696]
"BM375e4d02"="C:\WINDOWS\system32\eyefylpf.dll" [2008-05-26 16:50 108544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{3095D50F-F1BA-4BBC-A54D-819EEB7E0898}"= C:\WINDOWS\system32\xxyxWMgE.dll [2008-05-25 23:22 28160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyxWMgE]
xxyxWMgE.dll 2008-05-25 23:22 28160 C:\WINDOWS\system32\xxyxWMgE.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\DAoC-Irc\\mirc.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c61ab41f-18ed-11dd-ac23-0050da4d241b}]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c61ab420-18ed-11dd-ac23-0050da4d241b}]
\Shell\Auto\command - F:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 12:49:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\xxyxWMgE.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\bnpaylau.dll
-> C:\WINDOWS\system32\eyefylpf.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-27 12:53:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 10:53:12

13 Verzeichnis(se), 22,984,826,880 Bytes frei
15 Verzeichnis(se), 27,371,286,528 Bytes frei

310

Schon mal vielen Dank im vorraus.

**asd1561** · 2008-05-27, 13:24

Ich hab btw erst Combofix und dann HJ this durchlaufen lassen.

**raman** · 2008-05-27, 14:55

Sagen wir mal so, dich hat es wirklich voll erwischt!:( Ich wuerde den Rechner nochmal neu aufsetzen.

Du koenntest mir noch ein Gefallen machen. Kopiere folgendes, zwischen den cuts, in einen Texteditor und speicher es als cfscript.txt auf den Desktop

---cut---
http://forums.spybot.info/showthread.php?p=195870

suspect::[49]
C:\WINDOWS\system32\bnpaylau.dll
C:\WINDOWS\system32\cnhuihkq.dll
C:\WINDOWS\system32\eyefylpf.dll
C:\WINDOWS\system32\yggtmxpk.dll
C:\WINDOWS\system32\llyqactj.VIR
C:\WINDOWS\system32\ddcAssqq.dll
C:\WINDOWS\system32\gside.exe
C:\Dokumente und Einstellungen\The Dude\lsass.exe
C:\WINDOWS\system32\xxyxWMgE.dll
C:\WINDOWS\system32\vntiho18\vntiho182328.exe
C:\WINDOWS\b155.exe
C:\WINDOWS\b156.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\mrofinu1188.exe.tmp
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\Ymx1Yg\sAUYs0.vbs
C:\WINDOWS\system32\ynjpqabf.dll
C:\WINDOWS\system32\eqfpsbhl.dll
---cut---

Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Dadurch wir dauf dem Desktop eine Zipdatei erzeugt, die du mit den Informationen/Anweisungen von Combofix hochladen kannst, so kann ich die Dateien an Spybot schicken kann.

Dadurch werden keine Dateien geloescht. Sprich dein Problem besteht immer noch, nur wie gesagt bei einem so "jungen" System wuerde ich wieder neu aufsetzen. Denke daran, das du dir alle Updates von www.windowsupdate.com herunterlaedst. Hier findest du u.a. eine schoene Anleitung zum richtigen "neu aufsetzen und absichern" http://www.trojaner-board.de/51262-a...sicherung.html

**asd1561** · 2008-05-27, 19:28

Hmm alles klar :/ Ich habs mir irgendwie schon gedacht, dass das Ding tot ist :p

Das CFScript mach ich auch auf jedenfall noch.

Danke für die schnelle Hilfe und hoffentlich nicht bis bald :p

bye

Thread: Hilfe ich krieg die Trojaner nich weg :/

Thread Tools

Display

Hilfe ich krieg die Trojaner nich weg :/

Posting Permissions