Unerwünschte Installation von XP Antivirus 2008

Necro* · 1 Juli 2008

jep habe alles so gemacht wie du es gesagt hast script wurde auch ausgeführt

Necro* · 1 Juli 2008

ComboFix 08-06-30.2 - Max 2008-07-01 20:33:12.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2617 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Max\Desktop\Programme\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Max\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\10.tmp
C:\WINDOWS\system32\blphc7nej0eafr.scr
C:\WINDOWS\system32\lphc7nej0eafr.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.

2008-07-01 20:08 . 2008-07-01 20:18 <DIR> d-------- C:\Programme\Navilog1
2008-07-01 16:54 . 2008-07-01 16:54 <DIR> d-------- C:\Programme\ICQ6Toolbar
2008-07-01 16:54 . 2008-07-01 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-07-01 16:53 . 2008-07-01 16:57 <DIR> d-------- C:\Programme\ICQ6
2008-07-01 16:53 . 2008-07-01 16:57 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\ICQ
2008-07-01 16:29 . 2008-07-01 16:30 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Winamp
2008-07-01 16:11 . 2008-07-01 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-07-01 15:40 . 2008-07-01 15:40 <DIR> d-------- C:\Programme\Synaptics
2008-07-01 15:40 . 2006-10-12 17:28 198,976 --a------ C:\WINDOWS\system32\drivers\SynTP.sys
2008-07-01 15:40 . 2006-10-12 17:34 196,608 --a------ C:\WINDOWS\system32\SynCtrl.dll
2008-07-01 15:40 . 2006-10-12 17:33 163,840 --a------ C:\WINDOWS\system32\SynCOM.dll
2008-07-01 15:40 . 2006-10-12 17:34 143,360 --a------ C:\WINDOWS\system32\SynTPAPI.dll
2008-07-01 15:40 . 2006-10-12 18:12 110,592 --a------ C:\WINDOWS\system32\SynTPCo4.dll
2008-07-01 15:27 . 2008-07-01 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Lavasoft
2008-07-01 15:06 . 2005-07-06 15:43 155,648 --a------ C:\WINDOWS\system32\ACEngSvr.exe
2008-07-01 14:42 . 2008-07-01 14:42 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-01 14:42 . 2008-07-01 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Malwarebytes
2008-07-01 14:42 . 2008-07-01 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-01 14:42 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-01 14:42 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-01 14:35 . 2008-07-01 14:35 0 --a------ C:\WINDOWS\tosOBEX.INI
2008-07-01 13:48 . 2008-07-01 13:48 <DIR> d-------- C:\Programme\Wireless Console 2
2008-07-01 13:46 . 2006-10-30 15:40 2,182,528 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,138,624 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,059,904 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,018,304 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-07-01 13:46 . 2006-04-19 13:50 143,360 -----c--- C:\WINDOWS\system32\dllcache\usbport.sys
2008-07-01 13:46 . 2006-04-19 13:50 30,080 -----c--- C:\WINDOWS\system32\dllcache\usbehci.sys
2008-07-01 13:46 . 2006-04-19 13:50 20,608 -----c--- C:\WINDOWS\system32\dllcache\usbuhci.sys
2008-07-01 13:46 . 2006-04-19 13:50 17,152 -----c--- C:\WINDOWS\system32\dllcache\usbohci.sys
2008-07-01 13:45 . 2006-06-26 19:51 989,696 -----c--- C:\WINDOWS\system32\dllcache\setupapi.dll
2008-07-01 13:45 . 2006-08-03 16:02 81,664 -----c--- C:\WINDOWS\system32\dllcache\videoprt.sys
2008-07-01 13:43 . 2008-07-01 13:43 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-07-01 13:43 . 2008-07-01 13:43 <DIR> d-------- C:\Programme\Toshiba
2008-07-01 13:43 . 2007-04-24 13:20 113,920 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2008-07-01 13:43 . 2007-03-01 16:53 73,728 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2008-07-01 13:43 . 2007-05-24 14:27 64,000 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2008-07-01 13:43 . 2007-01-22 10:43 53,376 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2008-07-01 13:43 . 2007-06-11 14:25 41,856 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2008-07-01 13:43 . 2006-10-10 19:33 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2008-07-01 13:43 . 2006-11-20 17:55 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2008-07-01 13:43 . 2005-01-07 05:42 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2008-07-01 13:37 . 2007-10-26 02:20 549,184 --a------ C:\WINDOWS\system32\drivers\ar5211.sys
2008-07-01 13:37 . 2007-10-26 02:20 549,184 --a------ C:\WINDOWS\system32\ar5211.sys
2008-07-01 13:37 . 2007-10-26 02:20 100,996 --a------ C:\WINDOWS\system32\net5211.inf
2008-07-01 13:37 . 2007-10-29 13:47 23,501 --a------ C:\WINDOWS\system32\net5211.cat
2008-07-01 13:26 . 2008-07-01 13:26 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-07-01 13:26 . 2008-01-03 22:10 105,856 --a------ C:\WINDOWS\system32\drivers\Rtenicxp.sys
2008-07-01 13:25 . 2008-07-01 13:25 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-07-01 13:25 . 2008-07-01 13:25 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-07-01 13:25 . 2008-07-01 13:25 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-07-01 13:21 . 2008-07-01 13:26 <DIR> d-------- C:\Programme\Realtek
2008-07-01 12:56 . 2008-07-01 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\InstallShield
2008-07-01 12:55 . 2007-07-04 23:05 8,232,960 --a------ C:\WINDOWS\system32\atioglx2.dll
2008-07-01 12:52 . 2008-07-01 15:35 <DIR> d-------- C:\Programme\VS Revo Group
2008-07-01 12:36 . 2008-07-01 12:36 <DIR> d-------- C:\Programme\TGTSoft
2008-07-01 12:30 . 2008-07-01 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\TuneUp Software
2008-07-01 12:10 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-07-01 12:10 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys
2008-07-01 11:55 . 2008-07-01 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\ATI
2008-07-01 11:42 . 2008-07-01 11:42 <DIR> d-------- C:\Programme\RarZilla Free Unrar
2008-06-30 21:41 . 2008-06-30 21:42 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-06-30 21:36 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2008-06-30 21:36 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys
2008-06-30 21:18 . 2008-07-01 13:46 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-06-30 21:04 . 2006-06-13 06:58 360,532 --a------ C:\WINDOWS\system32\acs.exe
2008-06-30 19:56 . 2008-07-01 13:09 <DIR> d-------- C:\Programme\ATI Technologies
2008-06-30 19:56 . 2008-06-30 19:56 <DIR> d-------- C:\Programme\ATI
2008-06-30 19:52 . 2008-06-30 19:52 <DIR> d-------- C:\WINDOWS\Asus_Camera_ScreenSaver dir
2008-06-30 19:52 . 2008-06-30 19:52 4,814,371 --a------ C:\WINDOWS\ASUS Camera ScreenSaver.exe
2008-06-30 19:52 . 2008-06-30 19:52 606,848 --a------ C:\WINDOWS\flashax.exe
2008-06-30 19:52 . 2008-06-30 19:52 503,808 --a------ C:\WINDOWS\Asus_Camera_ScreenSaver.scr
2008-06-30 19:52 . 2008-06-30 19:52 274,800 --a------ C:\WINDOWS\ASUS Camera ScreenSaver Uninstaller.exe
2008-06-30 19:52 . 2008-06-30 19:52 37,232 --a------ C:\WINDOWS\ASScrProlog.exe
2008-06-30 19:52 . 2008-06-30 19:52 12,288 --a------ C:\WINDOWS\impborl.dll
2008-06-30 19:51 . 2008-06-30 19:51 <DIR> d-------- C:\Programme\PowerForPhone
2008-06-30 19:51 . 2004-09-04 03:00 90,112 --a------ C:\WINDOWS\system32\snymsico.dll
2008-06-30 19:51 . 2007-01-23 16:40 42,496 --a------ C:\WINDOWS\system32\drivers\rimsptsk.sys
2008-06-30 19:51 . 2007-02-24 14:42 39,936 --a------ C:\WINDOWS\system32\drivers\rimmptsk.sys
2008-06-30 19:51 . 2007-03-21 22:02 37,376 --a------ C:\WINDOWS\system32\drivers\rixdptsk.sys
2008-06-30 19:51 . 2005-05-07 12:06 16,480 --a------ C:\WINDOWS\system32\rixdicon.dll
2008-06-30 19:50 . 2008-06-30 19:50 <DIR> d-------- C:\Programme\Power4Gear eXtreme
2008-06-30 19:49 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-06-30 19:49 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-06-30 19:49 . 2001-08-18 05:20 16,256 --a------ C:\WINDOWS\system32\drivers\battc.sys
2008-06-30 19:49 . 2004-08-03 23:07 14,080 --a------ C:\WINDOWS\system32\drivers\cmbatt.sys
2008-06-30 19:49 . 2001-08-17 14:58 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys
2008-06-30 19:49 . 2001-08-17 14:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-06-30 19:49 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-06-30 19:48 . 2008-06-30 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-06-30 19:48 . 2008-07-01 18:15 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-06-30 19:48 . 2008-07-01 11:52 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-06-30 19:47 . 2008-07-01 20:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-30 19:47 . 2008-07-01 13:00 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2008-06-30 19:47 . 2008-06-30 19:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-06-30 19:47 . 2008-06-30 18:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-06-30 19:47 . 2008-07-01 16:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-06-30 19:47 . 2008-06-30 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-06-30 19:47 . 2008-06-30 18:58 <DIR> d-------- C:\Dokumente und Einstellungen
2008-06-30 19:47 . 2002-08-29 08:54 1,086,182 -ra------ C:\WINDOWS\SET3.tmp
2008-06-30 19:47 . 2001-08-18 21:00 13,898 -ra------ C:\WINDOWS\SETA.tmp
2008-06-30 19:44 . 2008-06-30 21:28 <DIR> d-------- C:\Programme\Norton Internet Security
2008-06-30 19:43 . 2008-06-30 21:29 <DIR> d-------- C:\Programme\Symantec
2008-06-30 19:43 . 2008-07-01 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-30 19:43 . 2008-06-30 21:29 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-30 19:43 . 2008-06-30 21:29 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-30 19:43 . 2008-06-30 21:29 10,671 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-30 19:43 . 2008-06-30 21:29 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-30 19:42 . 2008-07-01 18:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-30 19:41 . 2007-08-01 14:51 41,656 --------- C:\WINDOWS\system32\drivers\ipswuio.sys
2008-06-30 19:39 . 2007-01-24 12:08 5,632 -ra------ C:\WINDOWS\system32\drivers\kbfiltr.sys
2008-06-30 19:38 . 2008-06-30 19:38 <DIR> d-------- C:\Programme\Fingerprint Sensor
2008-06-30 19:37 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2008-06-30 19:37 . 2004-08-03 23:10 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys
2008-06-30 19:37 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2008-06-30 19:37 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2008-06-30 19:33 . 2008-06-30 21:02 <DIR> d-------- C:\Programme\Atheros
2008-06-30 19:33 . 2008-06-30 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros

.
264

Necro* · 1 Juli 2008

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:57 --------- d-----w C:\Programme\Reference Assemblies
2008-06-30 18:54 --------- d-----w C:\Programme\MSXML 6.0
2008-06-30 18:11 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-06-30 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-06-30 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-06-30 18:07 --------- d-----w C:\Programme\Nero
2008-06-30 18:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-06-30 16:55 558,142 ----a-w C:\WINDOWS\java\Packages\WW73Z1VV.ZIP
2008-06-30 16:55 155,995 ----a-w C:\WINDOWS\java\Packages\KCMCY8YB.ZIP
2008-06-30 16:55 --------- d-----w C:\Programme\microsoft frontpage
2008-06-30 16:54 --------- d-----w C:\Programme\Online-Dienste
2008-06-30 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

((((((((((((((((((((((((((((( snapshot_2008-07-01_20.06.03.96 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-01 18:01:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-01 18:35:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 12:49 451872]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-05-18 18:30 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"ATKMEDIA"="C:\Programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 08:27 61440]
"ATKHOTKEY"="C:\Programme\ATK Hotkey\Hcontrol.exe" [2007-08-23 11:18 229376]
"Net4Switch"="C:\Programme\ASUS\Net4Switch\Net4Switch.exe" [2007-08-02 09:57 1145400]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-01-14 01:11 771704]
"PowerForPhone"="C:\Programme\PowerForPhone\PowerForPhone.exe" [2007-06-26 10:10 778240]
"ASUS Camera ScreenSaver"="C:\WINDOWS\ASScrProlog.exe" [2008-06-30 19:52 37232]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"ACU"="C:\Programme\Atheros\ACU.exe" [2006-06-13 06:58 372824]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2007-07-05 16:53 1040384]
"ACMON"="C:\Programme\ASUS\Splendid\ACMON.exe" [2007-07-10 10:59 851968]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 18:01 90112]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-10-12 17:55 815104]
"WinampAgent"="D:\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 15:47 16859648 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 19:26]
R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\PROGRA~1\ATKHOT~1\ASNDIS5.SYS [2004-05-27 18:13]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 01:00]
S3 ipswuio;ipswuio;C:\WINDOWS\system32\DRIVERS\ipswuio.sys [2007-08-01 14:51]
S3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2006-06-02 12:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ab1344f-46d0-11dd-9a74-ba505e2cff74}]
\Shell\AutoRun\command - F:\pushinst.exe

*Newly Created Service* - COMHOST

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2008-06-30 18:00:32 C:\WINDOWS\Tasks\Norton Internet Security - Run Full System Scan - Max.job"
- C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 20:35:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\ATK Hotkey\KBFiltr.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-01 20:40:20 - machine was rebooted [Max]
ComboFix-quarantined-files.txt 2008-07-01 18:40:15
ComboFix2.txt 2008-07-01 18:06:22

7 Verzeichnis(se), 123,660,021,760 Bytes frei
10 Verzeichnis(se), 123,651,022,848 Bytes frei

Swisstreasure · 1 Juli 2008

Das Log sieht sauber aus.

Hast du noch irgendwleche Meldungen?

Mach noch einen Scan mit Cureit:
http://board.protecus.de/t29350.htm

Gruss Swiss

Necro* · 1 Juli 2008

nein habe eig. keine meldungen mehr lass jetzt noch ma das andere prog durchlaufen

Necro* · 1 Juli 2008

cureit hat keine viren gefunden

vielen dank für deine hilfe!
das forum bringt wirklich was!

Swisstreasure · 1 Juli 2008

Einfach wieder melden.

Grüsse DAS FOURM :)

Swiss

Swisstreasure · 2 Juli 2008

Um Combofix zu entfernen mache noch folgendes:

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

Gruss Swiss

skillah · 6 Juli 2008

frage

Swisstreasure schrieb:
Das Log sieht sauber aus.

Hast du noch irgendwleche Meldungen?

Mach noch einen Scan mit Cureit:
http://board.protecus.de/t29350.htm

Gruss Swiss

Ich wollte mal nachfragen...
bei mir ist antivirus xp 08 auch drauf und neben an ist noch ein programm das irgendwie malware protector irgendwas heisst..nun ich habe versucht die Anleitungen auf der ersten seiten so wie der Uninstall zu benutzen und trozdem funktioniert es nicht...was kann ich nun dagegen tun?..

Swisstreasure · 7 Juli 2008

Hallo Skillah

Bei beiden Programmen handelt es sich um FAKE-Antivirnprogramme.

Mach folgendes:

>>
wende Ccleaner an + lösche die temp-Dateien
http://www.pctipp.ch/downloads/betri...p_cleaner.html

>>
Erstelle ein Hijackthis log und poste es hier:
http://www.pctipp.ch/forum/showthread.php?t=359

>>
wende Combofix an und poste das Log hier:
http://www.virus-protect.org/artikel.../combofix.html

Gruss Swiss

Nick Name · 14 Juli 2008

Hallo zusammen,

ich hatte das Problem auch und habe versucht, die hier angebotenen Mittel anzuwenden.
1. Ccleaner: hat funktioniert

2. Highjackthis: das Protokoll:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:07, on 14.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Telekom\Eumex 200\Capictrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Dokumente und Einstellungen\Thomas\Desktop\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E} - C:\WINDOWS\system32\cbXNGaBU.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Launch] "D:\SETUP.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [YcvLv1aodP] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsjqvizu\vofqtofs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/ad...au.de/galerie/TSV Galerie/ThumbnailFrame.html
O20 - Winlogon Notify: cbXNGaBU - C:\WINDOWS\SYSTEM32\cbXNGaBU.dll
O21 - SSODL: srvproc - {1CCE6B78-0CC8-B3B4-71EF-05A135CE9469} - C:\Programme\lzdrief\srvproc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7975 bytes

Beitrag zu lang, daher 2. Post!!

Nick Name · 14 Juli 2008

3. Combofix: Log
ComboFix 08-07-13.14 - Thomas 2008-07-14 19:30:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.193 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\dtsc
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\dtsc\10470.exe
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\dtsc\s
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\rhct0pj0egcg
C:\Programme\rhct0pj0egcg
C:\Programme\webhancer
C:\WINDOWS\system32\blphcp0pj0egcg.scr
C:\WINDOWS\system32\phcp0pj0egcg.bmp
C:\WINDOWS\system32\pphcp0pj0egcg.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-14 bis 2008-07-14 ))))))))))))))))))))))))))))))
.

2008-07-14 18:36 . 2008-07-14 18:36 <DIR> d----c--- C:\Programme\CCleaner
2008-07-14 17:21 . 2008-07-14 17:41 360 --a--c--- C:\WINDOWS\wininit.ini
2008-07-14 15:50 . 2008-07-14 15:51 <DIR> d----c--- C:\Programme\Spybot - Search & Destroy
2008-07-14 15:50 . 2008-07-14 18:52 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-14 14:44 . 2008-07-14 18:29 <DIR> d----c--- C:\Programme\Enigma Software Group
2008-07-14 13:38 . 2008-07-14 13:38 <DIR> d----c--- C:\Programme\lzdrief
2008-07-14 13:37 . 2008-07-14 13:46 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsjqvizu
2008-07-14 13:35 . 2008-07-14 13:35 <DIR> d----c--- C:\Programme\uTorrent
2008-07-14 13:35 . 2008-07-14 13:35 <DIR> d----c--- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\uTorrent
2008-07-14 13:34 . 2008-07-14 13:34 58,368 --a--c--- C:\WINDOWS\system32\cbXNGaBU.dll
2008-07-14 13:32 . 2008-07-14 13:32 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-07-14 13:22 . 2008-07-14 13:22 <DIR> d----c--- C:\Programme\Bonjour
2008-07-14 13:03 . 2008-07-14 13:03 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-07-14 11:30 . 2008-07-14 11:30 <DIR> d----c--- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Verimount
2008-07-14 11:20 . 2008-07-14 11:20 <DIR> d----c--- C:\Programme\Verimount
2008-06-16 20:37 . 2008-06-16 20:37 <DIR> d----c--- C:\Programme\Windows Media Connect 2
2008-06-16 20:34 . 2008-06-16 20:34 <DIR> d----c--- C:\WINDOWS\system32\LogFiles
2008-06-16 20:34 . 2008-06-16 20:35 <DIR> d----c--- C:\WINDOWS\system32\drivers\UMDF
2008-06-16 19:50 . 2005-10-21 03:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SET66.tmp
2008-06-16 19:50 . 2005-10-21 03:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SET65.tmp
2008-06-16 19:50 . 2005-10-21 03:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SET64.tmp
2008-06-16 19:50 . 2005-10-21 03:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SET63.tmp
2008-06-16 19:49 . 2008-06-16 19:50 <DIR> d----c--- C:\Programme\Microsoft ActiveSync
2008-06-16 19:48 . 2008-06-16 19:48 <DIR> d----c--- C:\Programme\Windows Mobile Device Handbook
2008-06-16 19:47 . 2008-06-16 19:47 <DIR> d----c--- C:\WINDOWS\system32\Adobe
2008-06-15 13:30 . 2008-06-15 13:30 <DIR> d----c--- C:\Programme\OpenOffice.org 2.4

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 17:21 --------- dc----w C:\Programme\Mozilla Thunderbird
2008-07-14 17:09 --------- dc----w C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\OpenOffice.org2
2008-07-14 11:26 --------- dc----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-20 17:39 247,296 -c--a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-15 11:26 --------- dc----w C:\Programme\OpenOffice
2008-06-14 17:57 273,024 -c----w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-07 05:14 1,293,312 -c--a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 -c--a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}]
2008-07-14 13:34 58368 --a--c--- C:\WINDOWS\system32\cbXNGaBU.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 13:50 1289000]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 14:19 262401]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"PCTVOICE"="pctspk.exe" [2002-03-10 15:29 163840 C:\WINDOWS\system32\pctspk.exe]
"VTPreset"="VTPreset.exe" [2004-02-24 20:17 45056 C:\WINDOWS\system32\VTPreset.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-04-07 02:42:52 217190]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-03-14 11:15:17 113664]
CAPIControl.lnk - C:\Programme\Telekom\Eumex 200\Capictrl.exe [2005-02-22 10:47:42 274432]
Device Detector 3.lnk - C:\Programme\Olympus\DeviceDetector\DevDtct2.exe [2008-01-21 16:58:58 118784]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}"= "C:\WINDOWS\system32\cbXNGaBU.dll" [2008-07-14 13:34 58368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"srvproc"= {1CCE6B78-0CC8-B3B4-71EF-05A135CE9469} - C:\Programme\lzdrief\srvproc.dll [2008-07-14 13:38 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXNGaBU]
2008-07-14 13:34 58368 C:\WINDOWS\system32\cbXNGaBU.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-16 14:19]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 14:19]
R2 CAPI20;Eumex 220PC;C:\WINDOWS\system32\drivers\capi20.sys [2005-02-24 15:24]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2005-02-07 15:01]
S3 S3chipid;S3chipid;C:\WINDOWS\TEMP\_ISTMP0.DIR\S3chipid.sys []
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2005-02-21 15:31]
S3 VNUSB;VN Series Device;C:\WINDOWS\system32\DRIVERS\VNUSB.sys [2006-04-07 18:06]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Launch - D:\SETUP.EXE
HKLM-Explorer_Run-YcvLv1aodP - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsjqvizu\vofqtofs.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-14 19:39:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\cbXNGaBU.dll
.
Zeit der Fertigstellung: 2008-07-14 19:49:42
ComboFix-quarantined-files.txt 2008-07-14 17:48:29

10 Verzeichnis(se), 8,414,904,320 Bytes frei
16 Verzeichnis(se), 8,402,456,576 Bytes frei

147 --- E O F --- 2008-07-09 10:17:12

Ist der Rechner nun sauber?? Ich bin erst wieder gegen 01:00 Uhr on und lass ihn solange laufen. Nicht dass ich bei einem Neustart nochmal was aktiviere, was nochmal drauf ist.

Ach ja: Vielen Dank an alle, die sich hier Mühe geben, solchen Laien wie mir zu helfen!

Swisstreasure · 14 Juli 2008

Hallo Nick Name und herzlich Willkommen im PC-Tipp Forum

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei

Code:

O2 - BHO: (no name) - {E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E} - C:\WINDOWS\system32\cbXNGaBU.dll
 
O4 - HKLM\..\Policies\Explorer\Run: [YcvLv1aodP] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsjqvizu\vofqtofs.exe
 
O20 - Winlogon Notify: cbXNGaBU - C:\WINDOWS\SYSTEM32\cbXNGaBU.dll
 
O21 - SSODL: srvproc - {1CCE6B78-0CC8-B3B4-71EF-05A135CE9469} - C:\Programme\lzdrief\srvproc.dll

und wähle fix checked.

Starte den Rechner neu.

>>
Scanne mit Malwarebytes und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

PS: Eventuell muss danach noch ein Script erstell werden um den Rest zu löschen. Bin jedoch einige Tag abwesend.

poldi2010 · 14 Juli 2008

Erstmal hallo zusammen.

Habe mich leider auch mit XP Antivirus infiziert. habe zuerst wie beschrieben ccleaner durchlaufen lassen habe dann auch etwas gelöscht.
Dann hijackhits hier der Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37: VIRUS ALERT!, on 14.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Xfire\xfire.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Mattes\Desktop\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
c:\Programme\CCleaner\CCleaner.exe
c:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Mattes\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: qndsfmao - {2D707802-C57D-42DC-84BA-ADEAAECEF77B} - C:\WINDOWS\qndsfmao.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [Sys814.exe] C:\Windows\Sys814.exe
O4 - HKLM\..\Run: [Sys815.exe] C:\Windows\Sys815.exe
O4 - HKLM\..\Run: [Sys816.exe] C:\Windows\Sys816.exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKCU\..\Run: [ABIT uGuruIII] C:\Programme\ABIT\ABITEQ\ABITEQ.exe
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Sys814.exe] C:\Windows\Sys814.exe
O4 - HKCU\..\Run: [Sys815.exe] C:\Windows\Sys815.exe
O4 - HKCU\..\Run: [Sys816.exe] C:\Windows\Sys816.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Programme\partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Programme\partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll (file missing)
O16 - DPF: {1DABF8D5-8430-4985-9B7F-A30E53D709B3} (InstallHelper Class) - http://cache.tv.qq.com/qqlive_ocx/QQLiveInstaller.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///K:/HD-DVD9%20Files/components/hidinputmonitorx.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///K:/HD-DVD9%20Files/components/A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///K:/HD-DVD9%20Files/components/wmvhdrating.ocx
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: evgratsm - {B629DE88-865A-4104-898F-B2B047B96D31} - C:\WINDOWS\evgratsm.dll
O21 - SSODL: kvxqmtre - {E9EEB7BF-6D94-41C3-813F-1E1A678F32D1} - C:\WINDOWS\kvxqmtre.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 9667 bytes

Es wurde vorschgeschlagen combofix anzuwenden was auch anfangs geklappt hat. Dann habe ich kurz weggeschaut und mein PC wurde neugestartet. Zuerst sah alles super aus alles wie ich es gewohnt war aber combofix kam nicht zum Ende und ich musste erneut neustarten. Habe also kein Logfile.
Sitze grad hier am befallenen Pc und möchte einfach mal nachfragen ob andere Befallene auch keinen Zugriff auf Taskmanager, Taskleiste und Arbeitsplatz haben. Auch meine Festplatte C: ist auf einmal verschwunden. Dies alles ist nach dem Befall passiert.
halte mich momentan mit Totalcommander über wasser xD
Ich hoffe auf schnelle Hilfe und danke schonmal im vorraus. Finde es super das es helfende Menschen gibt

Swisstreasure · 15 Juli 2008

Hallo poldi2010 und herzlich Willkommen im PC-Tipp Forum

Du kannst schauen ob ds Log unter C: ComboFix.txt findest. Dann poste es hier.

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2"]h**tp://softwarereferral.com/jump.php...MjI6Ojg5&lid=2[/URL]
 
O3 - Toolbar: qndsfmao - {2D707802-C57D-42DC-84BA-ADEAAECEF77B} - C:\WINDOWS\qndsfmao.dll
 
O4 - HKLM\..\Run: [Sys814.exe] C:\Windows\Sys814.exe
 
O4 - HKLM\..\Run: [Sys815.exe] C:\Windows\Sys815.exe
 
O4 - HKLM\..\Run: [Sys816.exe] C:\Windows\Sys816.exe
 
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
 
O4 - HKCU\..\Run: [Sys814.exe] C:\Windows\Sys814.exe
 
O4 - HKCU\..\Run: [Sys814.exe] C:\Windows\Sys814.exe
 
O4 - HKCU\..\Run: [Sys816.exe] C:\Windows\Sys816.exe
 
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
 
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
 
O21 - SSODL: evgratsm - {B629DE88-865A-4104-898F-B2B047B96D31} - C:\WINDOWS\evgratsm.dll
 
O21 - SSODL: kvxqmtre - {E9EEB7BF-6D94-41C3-813F-1E1A678F32D1} - C:\WINDOWS\kvxqmtre.dll

und wähle fix checked.

Starte den Rechner neu.

>>
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Code:

C:\Programme\VAV

Klicke auf den Roten MoveIt!

>>
Versuche mit Malwarebytes zu scannen und lösche das gefundene + poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

PS: Bin enige Tage in den Ferien, eventuelmuss man noch die Product-Id wiederherstellen wegen VIRUS Alert. Dazu würde ich jedoch gerne noch ein Log sehen von Malwarebytes.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37: VIRUS ALERT!, on 14.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

poldi2010 · 15 Juli 2008

Guten morgen

ersteinmal vielen dank für die schnelle Hilfe.

Jetzt zum technischen:
1.Leider konnte ich c:\ComboFix.exe NICHT finden.
2.Bei HijackThis hat alles super geklappt.
3.Ich denke mit OTMoveIt wolltest du den Ordner C:\Programme\VAV löschen aber das habe ich schon manuell gemacht.
4. Malwarebytes hat auch super geklappt. Du wolltest das Log ?

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 951
Windows 5.1.2600 Service Pack 2

11:20:40 2008-07-15
mbam-log-7-15-2008 (11-20-40).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 149070
Scan Dauer: 37 minute(s), 55 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 24
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 17
Infizierte Verzeichnisse: 0
Infizierte Dateien: 26

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\ddcARlJA.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\yaywxvvW.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e96dce55-b646-4b34-8559-41d78022e4f3} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{e96dce55-b646-4b34-8559-41d78022e4f3} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{f0fccd91-e695-4651-82d7-029f328a8120} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0fccd91-e695-4651-82d7-029f328a8120} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yaywxvvw (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{222985e4-ff3e-487b-b3e1-9006e5142741} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{be4cd138-a5e2-4a38-ae2d-045507e527c0} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2d707802-c57d-42dc-84ba-adeaaecef77b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{355bf946-ad77-4b84-afaa-babb08d84e86} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{60298746-35d3-43f7-b9c7-be7b1020cd85} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{54a1be78-3c30-4447-9e15-cf92c12b2afc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fd1879f3-d9a8-49a0-a855-6ec1bf67b5e2} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fd1879f3-d9a8-49a0-a855-6ec1bf67b5e2} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\qndsfmao.blfn (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\qndsfmao.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\chilkatmail2.chilkatemail2 (Rogue.AntiSpamBoy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\chilkatmail2.chilkatemail2.1 (Rogue.AntiSpamBoy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\chilkatmail2.chilkatemailbundle2 (Rogue.AntiSpamBoy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\chilkatmail2.chilkatemailbundle2.1 (Rogue.AntiSpamBoy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\chilkatmail2.chilkatmailman2 (Rogue.AntiSpamBoy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\chilkatmail2.chilkatmailman2.1 (Rogue.AntiSpamBoy) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f0fccd91-e695-4651-82d7-029f328a8120} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcarlja -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcarlja -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55274-648-0873226-23301) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ddcARlJA.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\AJlRAcdd.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AJlRAcdd.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yaywxvvW.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\qndsfmao.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\kgxmotapvmb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3ZWMJMRX\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP400\A0207759.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP400\A0209771.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP400\A0209772.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP401\A0209932.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP401\A0209934.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP401\A0209935.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP402\A0211946.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9B732588-9F33-4FDB-8727-DC69E1E00E50}\RP403\A0215029.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcBuvSI.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\kvxqmtre.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\evgratsm.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\agpqlrfm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mattes\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

Nach dem Neustart scheint alles wieder in Ordnung zu sein. Unten rechts steht nicht mehr VIRUS ALERT!. Arbeitsplatz, Taskleiste und Taskmanager funktionieren wieder.
Leider jedoch sind meine Lesezeichen weg womit ich nicht gerechnet hatte :( und auf meinem Desktop fehlen einige Verknüpfungen :(.
Nunja das lässt sich ja wieder machen und ich bin froh das alles weg ist.
Vielen vielen Dank und viel Spaß im Urlaub du hast ihn dir verdint ;)

Nick Name · 15 Juli 2008

Vielen Dank für die schnelle Hilfe! Danke Swisstreasure!

Ich habe alles wie vorgegeben gemacht, 2x weil ich blöderweise neu gestartet habe, als Anti-Malware noch nicht alle Schäden beheben konnte (und ich eigentlich z ude ntools wechseln sollte. Hier das Protokoll nach dem 2. Durchgang:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 951
Windows 5.1.2600 Service Pack 2

13:48:49 15.07.2008
mbam-log-7-15-2008 (13-48-49).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 97341
Scan Dauer: 1 hour(s), 34 minute(s), 47 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e1bc0aab-2c35-40df-8f1d-4fd437df432e} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

cb2222 · 17 Juli 2008

hi...

ich hab auch das blöde prog drauf bekommen... sch*** antivirus 2008...
ich wäre glücklich wenn ihr mir helfen könnt...

habe auch schon alle gewollten logs und sonstiges gemacht...

ccleaner ausgeführt...

hijackthis log...

Logfile of HijackThis v1.99.1
Scan saved at 12:14:56, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\student\Eigene Dateien\apps\spyware, malware, viren\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://z7.invisionfree.com/Bluetooth_Shareware/index.php?showtopic=504
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

cb2222 · 17 Juli 2008

und das combofix log...

ComboFix 08-07-15.4 - student 2008-07-17 12:24:35.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\student\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\student\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-17 bis 2008-07-17 ))))))))))))))))))))))))))))))
.

2008-07-17 12:12 . 2008-07-17 12:12 <DIR> d-------- C:\Programme\CCleaner
2008-07-17 11:38 . 2008-07-17 11:38 <DIR> d-------- C:\Programme\APDFPRP
2008-07-17 11:38 . 2008-07-17 11:38 34 --a------ C:\WINDOWS\APDFPRP.INI
2008-07-17 11:21 . 2008-07-17 11:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-07-16 23:32 . 2008-07-16 23:32 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-07-16 09:38 . 2008-07-16 09:58 98 --a------ C:\WINDOWS\WirelessFTP.INI
2008-07-16 09:37 . 2008-07-16 11:54 <DIR> d-------- C:\Programme\Bluetooth Remote Control
2008-07-13 22:43 . 2008-07-13 22:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-07-13 22:24 . 2008-07-17 12:26 10,711,072 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-13 22:24 . 2008-07-17 11:55 125,948 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-13 22:22 . 2008-07-13 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-07-12 02:28 . 2008-07-12 02:28 <DIR> d-------- C:\WINDOWS\Sun
2008-07-11 18:05 . 2008-07-11 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\student\Anwendungsdaten\Ahead
2008-07-08 21:03 . 2008-07-08 21:03 <DIR> d-------- C:\Dokumente und Einstellungen\student\Anwendungsdaten\Bitdefender
2008-07-08 20:45 . 2008-07-17 12:22 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-07-08 20:40 . 2008-07-08 20:40 <DIR> d-------- C:\Programme\Softwin
2008-07-08 20:40 . 2008-07-08 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2008-07-08 20:39 . 2008-07-08 20:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Softwin
2008-07-07 22:12 . 2008-07-07 22:12 <DIR> d-------- C:\Programme\Google
2008-07-07 22:03 . 2008-07-11 22:04 <DIR> d-------- C:\Programme\PokerStars.NET
2008-07-07 21:08 . 2008-07-14 02:47 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-07-07 20:56 . 2008-07-07 20:56 <DIR> d-------- C:\Dokumente und Einstellungen\student\Anwendungsdaten\vlc
2008-07-07 16:27 . 2008-07-07 16:27 <DIR> d-------- C:\Programme\xp-AntiSpy
2008-07-07 16:27 . 2008-07-07 16:27 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-07-07 16:27 . 2008-07-07 16:27 268 --ah----- C:\sqmdata01.sqm
2008-07-07 16:27 . 2008-07-07 16:27 244 --ah----- C:\sqmnoopt01.sqm
2008-07-07 16:25 . 2008-07-07 16:27 <DIR> d-------- C:\Programme\MSN Messenger
2008-07-07 16:25 . 2008-07-07 16:25 268 --ah----- C:\sqmdata00.sqm
2008-07-07 16:25 . 2008-07-07 16:25 244 --ah----- C:\sqmnoopt00.sqm
2008-07-07 16:15 . 2008-07-07 16:15 <DIR> d-------- C:\Programme\VideoLAN
2008-07-07 15:57 . 2008-07-07 15:57 <DIR> d-------- C:\WINDOWS\system32\de-DE
2008-07-07 15:54 . 2008-07-07 15:57 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-07-07 15:54 . 2008-07-07 15:54 <DIR> d-------- C:\Programme\Reference Assemblies
2008-07-07 15:48 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-07-07 15:42 . 2008-07-14 02:44 <DIR> d-------- C:\Programme\PokerStars
2008-07-07 15:41 . 2008-07-07 15:41 <DIR> d-------- C:\Programme\MSECache
2008-07-07 15:40 . 2008-07-07 15:40 <DIR> d-------- C:\Programme\Paint.NET
2008-07-07 14:20 . 2008-07-16 23:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-06 18:33 . 2008-07-16 11:28 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-07-06 18:33 . 2008-07-06 18:33 <DIR> d-------- C:\Programme\Veoh Networks
2008-07-06 18:16 . 2008-07-07 15:43 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-07-06 12:04 . 2008-07-07 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\student\Anwendungsdaten\AdobeUM
2008-07-06 05:03 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-07-06 05:03 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-07-06 03:12 . 2008-07-06 03:13 680 --a------ C:\WINDOWS\mozver.dat
2008-07-05 18:59 . 2008-07-05 18:59 <DIR> d-------- C:\Programme\Avira
2008-07-05 18:59 . 2008-07-05 18:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-05 18:51 . 2008-07-05 18:51 <DIR> d-------- C:\Programme\Zone Labs
2008-07-05 18:50 . 2008-07-17 12:23 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-07-05 18:37 . 2008-07-05 18:37 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-07-05 18:36 . 2008-07-05 18:36 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-07-05 18:36 . 2008-07-05 18:37 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-07-05 18:33 . 2008-07-05 18:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-07-05 18:32 . 2008-07-05 18:32 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-05 18:31 . 2008-07-06 03:13 <DIR> d-------- C:\Programme\DivX
2008-07-05 18:31 . 2005-11-17 18:19 109,568 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-07-05 18:31 . 2005-11-17 18:19 108,544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-07-04 01:44 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-07-03 23:54 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-07-03 23:54 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-07-03 23:53 . 2008-07-03 23:53 <DIR> d-------- C:\Programme\Toshiba
2008-07-03 23:40 . 2006-02-07 08:40 155,648 --a------ C:\WINDOWS\system32\igfxres.dll
2008-07-03 23:39 . 2008-07-06 18:34 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-07-03 23:39 . 2005-09-30 10:34 310,016 --a------ C:\WINDOWS\system32\drivers\rixdptsk.sys
2008-07-03 23:39 . 2004-09-03 12:00 90,112 --a------ C:\WINDOWS\system32\snymsico.dll
2008-07-03 23:39 . 2005-09-14 12:45 50,560 --a------ C:\WINDOWS\system32\drivers\rimsptsk.sys
2008-07-03 23:39 . 2005-09-17 11:01 28,672 --a------ C:\WINDOWS\system32\drivers\rimmptsk.sys
2008-07-03 23:39 . 2005-05-06 18:06 16,480 --a------ C:\WINDOWS\system32\rixdicon.dll
2008-07-03 23:38 . 2008-07-07 16:25 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-07-03 23:38 . 2008-07-03 23:38 <DIR> d-------- C:\Programme\Synaptics
2008-07-03 23:38 . 2008-07-03 23:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-03 23:38 . 2006-07-28 02:46 2,732,032 --a------ C:\WINDOWS\system32\NETw3r32.dll
2008-07-03 23:38 . 2006-09-27 02:36 1,709,696 --a------ C:\WINDOWS\system32\drivers\NETw3x32.sys
2008-07-03 23:38 . 2006-07-28 02:45 561,152 --a------ C:\WINDOWS\system32\NETw3c32.dll
2008-07-03 23:38 . 2006-01-13 16:12 191,936 --a------ C:\WINDOWS\system32\drivers\SynTP.sys
2008-07-03 23:38 . 2006-01-13 16:15 114,688 --a------ C:\WINDOWS\system32\SynCtrl.dll
2008-07-03 23:38 . 2006-01-13 16:16 94,298 --a------ C:\WINDOWS\system32\SynTPAPI.dll
2008-07-03 23:38 . 2006-01-13 16:15 82,013 --a------ C:\WINDOWS\system32\SynCOM.dll
2008-07-03 23:38 . 2006-01-13 16:38 81,920 --a------ C:\WINDOWS\system32\SynTPCo2.dll
2008-07-03 23:38 . 2006-01-13 16:34 69,722 --a------ C:\WINDOWS\system32\SynTPFcs.dll
2008-07-03 23:37 . 2008-07-03 23:37 <DIR> d-------- C:\Programme\CONEXANT
2008-07-03 23:36 . 2008-07-03 23:36 <DIR> d-------- C:\Programme\Intel
2008-07-03 23:35 . 2008-07-17 11:22 <DIR> d--hs---- C:\WINDOWS\Installer
2008-07-03 23:34 . 2008-07-17 11:55 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-07-03 23:34 . 2008-07-03 22:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-07-03 23:34 . 2008-07-11 22:37 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-07-03 23:34 . 2008-07-03 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-07-03 23:34 . 2008-07-07 21:32 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-07-03 23:34 . 2008-07-17 00:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-07-03 23:11 . 2008-07-16 23:49 <DIR> dr------- C:\Dokumente und Einstellungen\student\Eigene Dateien
2008-07-03 23:09 . 2006-01-11 02:48 46,592 --------- C:\WINDOWS\system32\drivers\irbus.sys
2008-07-03 23:09 . 2006-01-11 02:48 19,200 --------- C:\WINDOWS\system32\drivers\hidir.sys
2008-07-03 23:07 . 2008-07-03 23:07 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-07-03 23:06 . 2008-07-03 22:43 <DIR> d--h----- C:\Dokumente und Einstellungen\student\Vorlagen
2008-07-03 23:06 . 2008-07-03 23:34 <DIR> dr------- C:\Dokumente und Einstellungen\student\Startmenü
2008-07-03 23:06 . 2008-07-03 23:34 <DIR> d--h----- C:\Dokumente und Einstellungen\student\Netzwerkumgebung
2008-07-03 23:06 . 2008-07-13 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\student\Lokale Einstellungen
2008-07-03 23:06 . 2008-07-03 23:11 <DIR> dr------- C:\Dokumente und Einstellungen\student\Favoriten
2008-07-03 23:06 . 2008-07-03 23:34 <DIR> d--h----- C:\Dokumente und Einstellungen\student\Druckumgebung
2008-07-03 23:06 . 2008-07-11 18:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\student\Anwendungsdaten
2008-07-03 23:06 . 2008-07-17 12:24 <DIR> d-------- C:\Dokumente und Einstellungen\student
2008-07-03 23:03 . 2008-07-03 23:03 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-07-03 23:03 . 2008-07-03 23:03 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-07-03 23:03 . 2008-07-16 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-07-03 23:03 . 2008-07-16 23:32 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-07-03 23:00 . 2008-07-17 12:26 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-07-03 23:00 . 2008-07-03 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-07-03 23:00 . 2008-07-03 23:00 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-07-03 23:00 . 2008-07-03 23:00 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-17 09:55 52,736 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-07-16 22:35 53,760 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-07-16 22:35 1,454,080 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-07-16 09:50 36,352 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-07-16 09:50 1,449,984 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-07-16 08:30 49,664 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-07-16 08:30 1,448,960 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-07-14 01:04 29,696 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-07-13 21:22 73,728 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-07-13 21:21 1,445,376 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-07-13 20:23 1,456,128 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-07-12 01:27 87,040 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-07-11 00:37 57,344 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-07-08 20:55 46,592 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-07-08 19:04 62,464 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-07-07 14:33 81,408 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-07-07 13:56 --------- d-----w C:\Programme\MSBuild
2008-07-05 20:37 41,472 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-07-05 16:33 --------- d-----w C:\Programme\Java
2008-07-03 22:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-07-03 22:44 --------- d-----w C:\Programme\Nero
2008-07-03 22:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-03 22:29 --------- d-----w C:\Programme\Microsoft Works
2008-07-03 22:28 --------- d-----w C:\Programme\Microsoft.NET
2008-07-03 22:25 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-07-03 21:35 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2008-07-03 21:35 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2008-07-03 21:35 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-07-03 21:35 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-07-03 21:35 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2008-07-03 21:35 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2008-07-03 21:35 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2008-07-03 21:35 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2008-07-03 20:56 --------- d-----w C:\Programme\microsoft frontpage
2008-07-03 20:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-07-03 20:48 --------- d-----w C:\Programme\Online-Dienste
2008-07-03 20:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-07-03 20:45 --------- d-----w C:\Programme\Windows Plus
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

cb2222 · 17 Juli 2008

und hier der rest vom combofix log...

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0\bin\jusched.exe" [2008-07-05 18:33 77824]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40 118784]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-13 16:33 761946]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"BDMCon"="C:\Programme\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 15:48 290816]
"BDAgent"="C:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 14:49 69632]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24 620152]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-01-05 10:30 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-07-17 11:21:01 295606]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-06-16 11:11:00 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\msncall.exe"=

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 12:26:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-17 12:29:35
ComboFix-quarantined-files.txt 2008-07-17 10:28:31

7 Verzeichnis(se), 93,235,200,000 Bytes frei
10 Verzeichnis(se), 93,209,186,304 Bytes frei

237 --- E O F --- 2008-07-07 12:

Unerwünschte Installation von XP Antivirus 2008

Mitglied

Mitglied

Mitglied

Stammgast

Mitglied

Mitglied

Stammgast

Stammgast

Neues Mitglied

Stammgast

Mitglied

Mitglied

Stammgast

Stammgast

Stammgast

Stammgast

Mitglied

Mitglied

Mitglied

Mitglied