Unerwünschte Installation von XP Antivirus 2008

coneman · 23 Juli 2008

Datei 0xf9.exe empfangen 2008.07.23 21:15:20 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 7/35 (20%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.24.0 2008.07.23 -
AntiVir 7.8.1.11 2008.07.23 HEUR/Malware
Authentium 5.1.0.4 2008.07.23 -
Avast 4.8.1195.0 2008.07.23 -
AVG 8.0.0.130 2008.07.23 -
BitDefender 7.2 2008.07.23 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.23 -
DrWeb 4.44.0.09170 2008.07.23 -
eSafe 7.0.17.0 2008.07.23 Suspicious File
eTrust-Vet 31.6.5976 2008.07.23 -
Ewido 4.0 2008.07.23 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.23 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.07.23 -
GData 2.0.7306.1023 2008.07.23 -
Ikarus T3.1.1.34.0 2008.07.23 -
Kaspersky 7.0.0.125 2008.07.23 -
McAfee 5345 2008.07.23 -
Microsoft 1.3704 2008.07.23 TrojanDownloader:Win32/VB.AAG
NOD32v2 3292 2008.07.23 a variant of Win32/TrojanDownloader.VB.NPK
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.23 Suspicious file
PCTools 4.4.2.0 2008.07.22 -
Prevx1 V2 2008.07.23 -
Rising 20.54.22.00 2008.07.23 -
Sophos 4.31.0 2008.07.23 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.23 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.23 -
VBA32 3.12.8.1 2008.07.23 -
VIRobot 2008.7.23.1307 2008.07.23 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.23 Heuristic.Malware
weitere Informationen
File size: 18432 bytes
MD5...: 328d359ac703916716369603e31f0266
SHA1..: 299120bb15d3e97bd6136b84026414de14954d75
SHA256: 6180407e3a1d5f99746a0170247edd87285f90a08bd69c1cbade31cabb030b1a
SHA512: cbbd40433fb59c0c36483ab2ea90c4f394fd48a80c1fa60f227ae0999851ceea
e7ffbff7d550b4fa62894b170a04aad634c5bf1a26956fe50eb399ec9be664cc
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x410560
timedatestamp.....: 0x48872c32 (Wed Jul 23 13:03:46 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xd000 0x4000 0x3800 7.79 7c96f0b0ac02e06dd2dc20d745787643
.rsrc 0x11000 0x1000 0xc00 2.90 a2b6abb425970cef40e8e7023acb8281

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )

packers (Kaspersky): UPX
packers (F-Prot): UPX

coneman · 23 Juli 2008

das malewarebytes läuft bei mir nicht richtig. das bleibt nach 2 min ungefähr stecken und stürzt ab

Swisstreasure · 23 Juli 2008

@ Coneman

>>
Dann mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Erstelle noch ein HiJackthis Log.
http://www.pctipp.ch/forum/showthread.php?t=359

Gruss Swiss

coneman · 23 Juli 2008

@ swisstreasure

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 984
Windows 5.1.2600 Service Pack 2

21:49:17 23.07.2008
mbam-log-7-23-2008 (21-49-17).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40918
Laufzeit: 7 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc956j0ec53 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc956j0ec53 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\YourSiteBar (Adware.ISTBar) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-2550772934-1362894045-3818468296-1006\Dc2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2550772934-1362894045-3818468296-1006\Dc3.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2550772934-1362894045-3818468296-1006\Dc4.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2550772934-1362894045-3818468296-1006\Dc5.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2550772934-1362894045-3818468296-1006\Dc6.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2550772934-1362894045-3818468296-1006\Dc7.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\msavsc.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\msctrl.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\msfw.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\msiemon.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\mssadv.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\msscan.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\YourSiteBar\imagemap_normal.bmp (Adware.ISTBar) -> Quarantined and deleted successfully.
C:\Programme\YourSiteBar\imagemap_over.bmp (Adware.ISTBar) -> Quarantined and deleted successfully.
C:\Programme\YourSiteBar\version.txt (Adware.ISTBar) -> Quarantined and deleted successfully.
C:\Programme\YourSiteBar\yoursitebar.xml (Adware.ISTBar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.

coneman · 23 Juli 2008

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:01, on 23.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Chris\Eigene Dateien\Downloads\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-com.de/
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120728824250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1120733127593
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6087 bytes

poldi2010 · 23 Juli 2008

Hallo Hinterwäldler,
schön das du dier so Gedanken und sorgen um mein System und meine Hardware machst ;)

Hat dein Taschengeld nicht zu einem SP3 und den darauf folgenden Sicherheitsupdates von MS gereicht? Ich habe ja nichts dagegen, wenn du keine PFW benutzt (ich habe auch keine), dann jedoch sollte dein System wenigstens nach http://www.ntsvcfg.de/ konfiguriert sein.

Taschengeld hat nochnichtmal für Windows gereicht :O
was sind PFW? und warum sollte mein System so wie auf dem Link kofiguriert sein?

Nun mal im Einzelnen. Zuerst was du mit Sicherheit nicht an Diensten brauchst:
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Zeallsoft\Super Screen Capture\SSCapture.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe

Ad-Aware hab ich wegen deisem Anti-Virus 2008 benutzt... Und zu diesen ganzen verscheiednen playern kann ich nur sagen das ich die komischer Weise brauche weil ständig probleme mit der Widergabe auftreten...

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
Du hast doch den FF mit Google-Search oder ist der nur zur Tarnung. Du musst nicht alles installieren, was dir angeboten wird.

Ja du hast Recht FF mit Google-Search keine Ahnung warum Yahoo-Toolbar da ist ... müsste leicht zu entfernen sein....

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
Der FF braucht diesen Aufruf nicht.

Sorry verstehe nicht was du meinst...

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Was isn dos? Hast du da was weggelöscht und die Reste vergessen?

Wird wohl so sein

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Programme\partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Programme\partypoker\PartyPoker\RunApp.exe (file missing)
??? )))

Karteileiche....

O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Programme\MSN Webcam Recorder\ml20gui.exe" -silent
Warum eine Webcam mit dem IÄ aufgerufen wird bleibt streng geheim.

Wo wird den da bitte eine Webcam mit Internet Explorer(?) aufgerufen...

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
Willst du uns veralbern?

nein will ich nicht... das gehört zum Webcam Recoreder...

Ich an deiner Stelle würde ernstlich in Betracht ziehen, das dein PC nicht mehr das tut, was du von ihm erwartest und ein Eigenleben entwickelt. Derzeit sind nach neuesten Erhebungen 300.000 deutsche PC ein Zombi. Das ist jeder 10te. Wie die Lage in CH ist, kann ich nicht beurteilen. Ich schätze mal nicht viel anders.

Ich komme auch aus DE ^^ Also ich hoffe das du nicht aus den 6 rausgesuchten Problemchen zum Schluss kommst, mein System neuaufzusetzen...
Habe gute Hardware das stimmt, ich hab auch viele unnütze Sachen im Hintergrund laufen kann sein.
Aber einer dieser Zombies bin ich mit größter Sicherheit nicht.

Trotzdem danke für die Aufmerksamkeit
hoffe du kannst mir noch mit meinen Fragen helfen...

Nick Name · 24 Juli 2008

hallo swisstreasure, vielen Dank schonmal, ich dachte schon, das läuft wieder und alles ist in Ordnung. Hier nun das Protokoll, es ist etwas länger ...

ComboFix 08-07-23.4 - Thomas 2008-07-24 7:37:34.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Thomas\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\WINDOWS\qndsfmao.dll
C:\WINDOWS\system32\cbXNGaBU.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\AutoUpdateWin31.dll
C:\WINDOWS\system32\nuksvi.dll
C:\WINDOWS\system32\sbyajqvi.dll
C:\WINDOWS\windowsupdates.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-24 bis 2008-07-24 ))))))))))))))))))))))))))))))
.

2008-07-15 17:58 . 2008-07-15 18:00 32,768 --a--c--- C:\WINDOWS\AutoUpdateWin33.exe
2008-07-15 10:17 . 2008-07-15 10:17 <DIR> d----c--- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2008-07-15 10:17 . 2008-07-15 10:17 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-14 17:21 . 2008-07-15 09:48 418 --a--c--- C:\WINDOWS\wininit.ini
2008-07-14 15:50 . 2008-07-22 19:42 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-14 13:37 . 2008-07-14 13:46 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsjqvizu
2008-07-14 13:32 . 2008-07-14 13:32 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-07-14 13:22 . 2008-07-14 13:22 <DIR> d----c--- C:\Programme\Bonjour
2008-07-14 13:03 . 2008-07-14 13:03 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-07-14 11:30 . 2008-07-14 11:30 <DIR> d----c--- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Verimount

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-24 04:22 --------- dc----w C:\Programme\Mozilla Thunderbird
2008-07-22 17:47 --------- dc----w C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Samsung
2008-07-22 14:04 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-16 18:31 --------- dc----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-14 17:09 --------- dc----w C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\OpenOffice.org2
2008-06-20 17:39 247,296 -c--a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-16 18:37 --------- dc----w C:\Programme\Windows Media Connect 2
2008-06-16 17:50 --------- dc----w C:\Programme\Microsoft ActiveSync
2008-06-16 17:48 --------- dc----w C:\Programme\Windows Mobile Device Handbook
2008-06-15 11:30 --------- dc----w C:\Programme\OpenOffice.org 2.4
2008-06-14 17:57 273,024 -c----w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-07 05:14 1,293,312 -c--a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 671,232 -csha-w C:\WINDOWS\system32\mstime.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-14_19.45.45.98 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 -c--a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-04-16 12:19:18 41,792 -c--a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2008-07-17 14:08:16 45,376 -c--a-w C:\WINDOWS\system32\drivers\avgntdd.sys
- 2008-04-16 12:19:18 79,424 -c--a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2008-07-17 14:08:16 75,072 -c--a-w C:\WINDOWS\system32\drivers\avipbb.sys
- 2008-07-14 11:42:47 1,452,392 -c--a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-07-16 06:48:14 1,452,448 -c--a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 13:50 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 16:08 266497]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"PCTVOICE"="pctspk.exe" [2002-03-10 15:29 163840 C:\WINDOWS\system32\pctspk.exe]
"VTPreset"="VTPreset.exe" [2004-02-24 20:17 45056 C:\WINDOWS\system32\VTPreset.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-04-07 02:42:52 217190]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-03-14 11:15:17 113664]
CAPIControl.lnk - C:\Programme\Telekom\Eumex 200\Capictrl.exe [2005-02-22 10:47:42 274432]
Device Detector 3.lnk - C:\Programme\Olympus\DeviceDetector\DevDtct2.exe [2008-01-21 16:58:58 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-16 14:19]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 16:08]
R2 CAPI20;Eumex 220PC;C:\WINDOWS\system32\drivers\capi20.sys [2005-02-24 15:24]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2005-02-07 15:01]
S3 S3chipid;S3chipid;C:\WINDOWS\TEMP\_ISTMP0.DIR\S3chipid.sys []
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2005-02-21 15:31]
S3 VNUSB;VN Series Device;C:\WINDOWS\system32\DRIVERS\VNUSB.sys [2006-04-07 18:06]
.
Inhalt des "geplante Tasks" Ordners
"2008-07-18 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{B1B74F6C-F765-4B5C-A979-835A321374FE} - C:\WINDOWS\system32\fccaAqpq.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 07:45:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-24 7:53:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-07-24 05:53:23
ComboFix2.txt 2008-07-14 17:49:46

Pre-Run: 6,259,212,288 Bytes frei
Post-Run: 7,963,377,664 Bytes frei

143 --- E O F --- 2008-07-09 10:17:12

asme · 24 Juli 2008

Probleme mit Antivirus XP 2008 auch bei mir

Guten Tag zusammen

Auch ich habe mir die Seuche an Bord gezogen und wäre dankbar für jegliche Hilfe...

-CCleaner habe ich ausgeführt

-Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:12:27, on 24.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ybgdstmt\mxcdgvmn.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\WINDOWS\system32\mlenkhkl.exe
C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.boulderei.ch/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [InfoMnt] C:\WINDOWS\system32\sdejwrgl.exe
O4 - HKCU\..\Run: [strsh] C:\WINDOWS\system32\mlenkhkl.exe
O4 - HKCU\..\Run: [StrApi] C:\WINDOWS\system32\zgfargze.exe
O4 - HKLM\..\Policies\Explorer\Run: [ffpxR8UoYV] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ybgdstmt\mxcdgvmn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {3BA494B1-D507-4C11-9BDA-D47E1A65DFCF} (Confidence Online for Web Applications) - https://uk.dbrasweb.db.com/llclient/dbrasweb/winxp/,DanaInfo=rctoolbox2.uk.db.com+AXXPEE.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/27.49/uploader2.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - https://uk.dbrasweb.db.com/dana-cached/setup/JuniperSetupSP1.cab
O21 - SSODL: apicmd - {483759E7-0716-4186-98D2-04F3A56BA479} - C:\Programme\trcjgaf\apicmd.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8906 bytes

Fortsetzung folgt...

asme · 24 Juli 2008

Teil II

-Combofix:

ComboFix 08-07-23.4 - Christian 2008-07-24 12:05:18.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.498 [GMT 2:00]
ausgeführt von:: C:\Programme\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973
C:\WINDOWS\system32\blphc1vej0e973.scr
C:\WINDOWS\system32\lphc1vej0e973.exe
C:\WINDOWS\system32\phc1vej0e973.bmp
C:\WINDOWS\system32\pphc1vej0e973.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-24 bis 2008-07-24 ))))))))))))))))))))))))))))))
.

2008-07-24 11:57 . 2008-07-24 11:57 <DIR> d-------- C:\Programme\CCleaner
2008-07-24 11:56 . 2008-07-24 11:56 2,919,360 --a------ C:\Programme\ccsetup209.exe
2008-07-24 11:24 . 2008-07-24 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-07-24 11:19 . 2008-07-24 11:19 7,333,664 --a------ C:\Programme\Firefox Setup 3.0.1.exe
2008-07-24 11:18 . 2008-07-24 11:18 86,016 --a------ C:\WINDOWS\system32\zgfargze.exe
2008-07-24 10:56 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-07-24 10:56 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-07-24 10:56 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-24 10:19 . 2008-07-24 10:19 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-24 10:19 . 2008-07-24 10:19 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Malwarebytes
2008-07-24 10:19 . 2008-07-24 10:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-24 10:19 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-24 10:19 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-24 10:18 . 2008-07-24 10:18 1,845,456 --a------ C:\Programme\mbam-setup.exe
2008-07-24 10:13 . 2008-07-24 10:13 94,208 --a------ C:\WINDOWS\system32\10.tmp
2008-07-24 10:12 . 2008-07-24 10:12 81,920 --a------ C:\WINDOWS\system32\mlenkhkl.exe
2008-07-24 10:06 . 2008-07-24 10:06 2,660,798 --a------ C:\Programme\ComboFix.exe
2008-07-24 09:57 . 2008-07-24 09:57 <DIR> d-------- C:\Programme\Trend Micro
2008-07-24 09:56 . 2008-07-24 09:56 812,344 --a------ C:\Programme\HJTInstall202.exe
2008-07-23 18:10 . 2008-07-23 18:10 <DIR> d-------- C:\Programme\Enigma Software Group
2008-07-23 18:10 . 2008-07-23 18:10 7,862,480 --a------ C:\Dokumente und Einstellungen\Christian\Spyhunter-Detection-Utility-Install.exe
2008-07-23 18:03 . 2008-07-23 18:03 724,952 --a------ C:\Dokumente und Einstellungen\Christian\avenger.zip
2008-07-23 18:01 . 2008-07-23 18:01 916,072 --a------ C:\Dokumente und Einstellungen\Christian\fsbl1067.exe
2008-07-23 17:39 . 2008-07-23 17:40 <DIR> d-------- C:\Programme\trcjgaf
2008-07-23 17:39 . 2008-07-23 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ybgdstmt
2008-07-23 17:39 . 2008-07-23 17:39 77,824 --a------ C:\WINDOWS\system32\sdejwrgl.exe
2008-07-20 21:03 . 2008-07-20 21:03 <DIR> d-------- C:\Programme\Macromedia
2008-07-20 21:03 . 2008-07-20 21:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-24 09:37 3,884 ----a-w C:\WINDOWS\system32\tmp.reg
2008-07-08 06:45 28,672 ----a-w C:\WINDOWS\system32\drivers\CO_Mon.sys
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-05-29 07:38 --------- d-----w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\WholeSecurity
2008-05-29 07:38 --------- d-----w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Juniper Networks
2008-05-25 11:47 --------- d-----w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\SmartFTP
2008-05-25 11:46 --------- d-----w C:\Programme\SmartFTP Client 3.0 Setup Files
2008-05-25 11:46 --------- d-----w C:\Programme\SmartFTP Client
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-02-06 20:51 452,392 ----a-w C:\Programme\COL10862.exe
2008-02-06 19:54 316,859,784 ----a-w C:\Programme\AiO_071_000_201_000_CDA_Default-Full_Network_Euro2.exe
2008-01-25 18:41 20,907,376 ----a-w C:\Programme\aaw2007.exe
2008-01-07 21:16 1,029,120 ----a-w C:\Programme\freepdf211.exe
2008-01-07 21:07 6,071,113 ----a-w C:\Programme\PDFX3SA_LE.zip
2007-12-22 11:52 22,328 ----a-w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\PnkBstrK.sys
2007-08-29 06:03 50,009,400 ----a-w C:\Programme\iTunesSetup.exe
2007-02-15 20:34 5,202,944 ----a-w C:\Programme\gs653w32.exe
2007-02-15 20:28 1,565,449 ----a-w C:\Programme\freepdf2000.zip
2006-12-01 20:26 359,112 ----a-w C:\Programme\LimeWireWin.exe
2006-11-08 19:24 13,409,832 ----a-w C:\Programme\antivir_workstation_win702u_de_h.exe
2006-11-05 20:17 2,855,080 ----a-w C:\Programme\aawsepersonal106.exe
2006-09-16 19:42 24,277,024 ----a-w C:\Programme\dotnetfx.exe
2006-09-16 14:28 10,332,640 ----a-w C:\Programme\SkypeSetup.exe
.

((((((((((((((((((((((((((((( snapshot@2008-07-24_10.15.12.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-09-24 20:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-06-09 23:21:02 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-09-24 20:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-06-09 23:21:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2007-09-24 21:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2008-06-10 00:32:34 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 17:20 20058152]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]
"H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe" [2006-06-26 21:09 1211176]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"InfoMnt"="C:\WINDOWS\system32\sdejwrgl.exe" [2008-07-23 17:39 77824]
"strsh"="C:\WINDOWS\system32\mlenkhkl.exe" [2008-07-24 10:12 81920]
"StrApi"="C:\WINDOWS\system32\zgfargze.exe" [2008-07-24 11:18 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-04-17 05:24 110592]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-26 22:48 7561216]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-26 22:48 86016]
"ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 15:20 180224]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2005-10-17 17:09 987136]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 02:26 761945]
"RemoteControl"="C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 17:13 86016]
"Control Center"="C:\Program Files\ASUS\WLAN Card Utilities\Center.exe" [2005-06-15 15:50 1623040]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [2003-12-24 16:35 150528]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-24 22:48 185896]
"nwiz"="nwiz.exe" [2006-04-26 22:48 1519616 C:\WINDOWS\system32\nwiz.exe]
"SMSERIAL"="sm56hlpr.exe" [2006-01-19 23:34 544768 C:\WINDOWS\sm56hlpr.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 01:52 15797248 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ffpxR8UoYV"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ybgdstmt\mxcdgvmn.exe" [2008-07-23 17:39 57344]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ASUS ChkMail.lnk - C:\Programme\ASUS\Asus ChkMail\ChkMail.exe [2006-07-11 03:46:15 32768]
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22 288472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"apicmd"= {483759E7-0716-4186-98D2-04F3A56BA479} - C:\Programme\trcjgaf\apicmd.dll [2008-07-23 17:40 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\StubInstaller.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\WINDOWS\\System32\\SPOOLSV.EXE"=
"C:\\Programme\\Soldier of Fortune II - Double Helix GOLD\\SoF2MP.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\System32\\PnkBstrA.exe"=
"C:\\WINDOWS\\System32\\PnkBstrB.exe"=
"C:\\Programme\\TwonkyMedia\\twonkymedia.exe"=
"C:\\Programme\\TwonkyMedia\\twonkymediaserver.exe"=
"C:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\RKMediaCenter.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54]
R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 10:26]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 10:26]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe []
S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 15:58]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-07-08 09:37:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-lphc1vej0e973 - C:\WINDOWS\system32\lphc1vej0e973.exe
HKLM-Run-SMrhc5vej0e973 - C:\Programme\rhc5vej0e973\rhc5vej0e973.exe

asme · 24 Juli 2008

Teil III

.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = www.boulderei.ch/index.html
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.asus.com/
O8 -: E&xport to Microsoft Office Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: {3BA494B1-D507-4C11-9BDA-D47E1A65DFCF} - hxxps://uk.dbrasweb.db.com/llclient/dbrasweb/winxp/,DanaInfo=rctoolbox2.uk.db.com+AXXPEE.dll
C:\WINDOWS\Downloaded Program Files\,DanaInfo=rctoolbox2.uk.db.com+AXXPEE.dll

O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
C:\WINDOWS\Downloaded Program Files\IPSUploader.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\IPSUploader.ocx

O16 -: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} - hxxps://uk.dbrasweb.db.com/dana-cached/setup/JuniperSetupSP1.cab
C:\WINDOWS\Downloaded Program Files\JuniperSetup.INF
C:\WINDOWS\Downloaded Program Files\string_zh_cn.properties
C:\WINDOWS\Downloaded Program Files\string_zh.properties
C:\WINDOWS\Downloaded Program Files\string_ko.properties
C:\WINDOWS\Downloaded Program Files\string_ja.properties
C:\WINDOWS\Downloaded Program Files\string_fr.properties
C:\WINDOWS\Downloaded Program Files\string_es.properties
C:\WINDOWS\Downloaded Program Files\string_de.properties
C:\WINDOWS\Downloaded Program Files\string_en.properties
C:\WINDOWS\Downloaded Program Files\JuniperSetup.ocx
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 12:07:23
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-24 12:07:45
ComboFix-quarantined-files.txt 2008-07-24 10:07:44
ComboFix2.txt 2008-07-24 08:16:00

Pre-Run: 12 Verzeichnis(se), 13,850,935,296 Bytes frei
Post-Run: 16 Verzeichnis(se), 13,852,278,784 Bytes frei

236 --- E O F --- 2008-07-09 21:42:33

Besten Dank im Voraus für den Support!

Gruss, Christian

Swisstreasure · 24 Juli 2008

@poldi2010

Das Combofix Log sieht sauber aus. hast du noch probleme?

Gruss Swiss

Swisstreasure · 24 Juli 2008

@Nickname

>>
Lass malwarebytes noch einmal laufen und poste das Ergebnis:
http://www.virus-protect.org/artikel/tools/malwarebytes.html

>>
Download DSS auf den Desktop
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:/ main.txt hier hinein.

Ist für mich:

C:\WINDOWS\AutoUpdateWin33.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsjqvizu

Swisstreasure · 24 Juli 2008

Hallo asme und herzlich Willkommen im PC-Tipp Forum

>>
Lass folgende Dateien bei www.virustotal.com/de prüfen:

C:\WINDOWS\system32\mlenkhkl.exe
C:\WINDOWS\system32\zgfargze.exe
C:\WINDOWS\system32\sdejwrgl.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ybgdstmt\mxcdgvmn.exe

poste die Ergebnisse hier.

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei:

O4 - HKCU\..\Run: [InfoMnt] C:\WINDOWS\system32\sdejwrgl.exe

O4 - HKCU\..\Run: [strsh] C:\WINDOWS\system32\mlenkhkl.exe

O4 - HKCU\..\Run: [StrApi] C:\WINDOWS\system32\zgfargze.exe

O4 - HKLM\..\Policies\Explorer\Run: [ffpxR8UoYV] C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\ybgdstmt\mxcdgvmn.exe

O21 - SSODL: apicmd - {483759E7-0716-4186-98D2-04F3A56BA479} - C:\Programme\trcjgaf\apicmd.dll

und wähle fix checked.

Starte den Rechner neu.

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Ergebnis:
http://www.virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

poldi2010 · 24 Juli 2008

Nein Probleme hab ich nciht mehr... deswegen war ich verwundert, dass ich nochmal Combofix und HiJackThis drüberlaufen lassen sollte aber nagut.
Deswegen kann ich Hinterwäldlers' Vorschlag mein System neuaufzusetzen überhaubt nicht verstehen
Nochmals vielen Dank

Gruss

Swisstreasure · 24 Juli 2008

@ poldi2010

Das Log von Combofix wollte ich um zu sehen, ob nach dem Ausführen von malwarebytes noch Reste auf dem System verblieben :)

Bezüglich Neu Aufsetzen hat jeder seine Meinung :)

Gruss Swiss

asme · 24 Juli 2008

@ Swiss:

Danke und Respekt für Deinen Support hier.

Virustotal sagt folgendes:

AhnLab-V3 2008.7.24.0 2008.07.24 -
AntiVir 7.8.1.11 2008.07.24 -
Authentium 5.1.0.4 2008.07.24 -
Avast 4.8.1195.0 2008.07.24 -
AVG 8.0.0.130 2008.07.24 Downloader.Swizzor
BitDefender 7.2 2008.07.24 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.24 -
DrWeb 4.44.0.09170 2008.07.24 -
eSafe 7.0.17.0 2008.07.24 -
eTrust-Vet 31.6.5979 2008.07.24 -
Ewido 4.0 2008.07.24 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.24 -
Fortinet 3.14.0.0 2008.07.24 W32/PolySmall.BP!tr
GData 2.0.7306.1023 2008.07.24 -
Ikarus T3.1.1.34.0 2008.07.24 -
Kaspersky 7.0.0.125 2008.07.24 -
McAfee 5345 2008.07.23 -
Microsoft 1.3704 2008.07.24 Trojan:Win32/Busky.EI
NOD32v2 3293 2008.07.24 probably a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.24 -
PCTools 4.4.2.0 2008.07.24 -
Prevx1 V2 2008.07.24 -
Rising 20.54.32.00 2008.07.24 -
Sophos 4.31.0 2008.07.24 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.24 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.24 -
VBA32 3.12.8.1 2008.07.23 -
ViRobot 2008.7.24.1309 2008.07.24 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.24 -
weitere Informationen
File size: 57344 bytes
MD5...: 1e6c06e17093ca2dbc447f66b18511cf
SHA1..: b71549cf78fd2917b85b3d9740e6fdfa242ddeef
SHA256: 7402570eacb596a1a2299818ba7ebe5a5e6894255c760f09e4643ae3e71e1cce
SHA512: bffd5ded36ca1361aeff2e01662b2d1f64bfc73a156f230253ef636008208f6b
2f1db2462514ff77ce39774b9d22b9264c968f05b1713a2e9b088e578851a7c3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401131
timedatestamp.....: 0x488741e7 (Wed Jul 23 14:36:23 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xafaa 0xb000 6.84 b8f38f3301067e37e9bbfe1f8428fad9
.rdata 0xc000 0x6b4 0x1000 2.68 9c836b96c9670cc99742a9e8917bd5d9
.data 0xd000 0x3f4 0x1000 0.27 673cab2d9e3274263b6fad8bdfe585c8

( 4 imports )
> KERNEL32.dll: GetFileSize, VirtualAlloc, CreateFileW, GlobalUnlock, SuspendThread, TerminateThread, ResetEvent, Sleep, LoadLibraryA, WritePrivateProfileStringW, GlobalAddAtomW, GetLocalTime, GlobalLock, SetEvent, GetModuleFileNameW, DeleteFileW, MoveFileW, SetThreadPriority, GetProcAddress, DuplicateHandle, LockResource, SetWaitableTimer, ResumeThread, InterlockedIncrement, GetDriveTypeW, FindNextFileW, CancelWaitableTimer, SizeofResource, GetPrivateProfileStringW
> USER32.dll: CreateWindowExW, VkKeyScanW, GetWindowThreadProcessId, AppendMenuW, GetWindowTextW, OffsetRect, RegisterWindowMessageW, GetWindowDC, InvalidateRect, PostThreadMessageW, GetCursorPos, CreatePopupMenu, EndDialog, GetKeyState
> GDI32.dll: CreateSolidBrush, GetObjectW, CreateCompatibleBitmap, SetBkMode, CreateCompatibleDC, CreateBitmap, GetMapMode, CreateFontIndirectW, CreateRoundRectRgn, SetBkColor, SetDIBits, MoveToEx
> ADVAPI32.dll: LookupAccountSidW, RegDeleteValueW, RegQueryValueExW, RegOpenKeyExW, RegNotifyChangeKeyValue

( 0 exports )

______________

AhnLab-V3 2008.7.24.0 2008.07.24 -
AntiVir 7.8.1.11 2008.07.24 -
Authentium 5.1.0.4 2008.07.24 -
Avast 4.8.1195.0 2008.07.24 -
AVG 8.0.0.130 2008.07.24 Downloader.Swizzor
BitDefender 7.2 2008.07.24 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.24 -
DrWeb 4.44.0.09170 2008.07.24 -
eSafe 7.0.17.0 2008.07.24 -
eTrust-Vet 31.6.5979 2008.07.24 -
Ewido 4.0 2008.07.24 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.24 -
Fortinet 3.14.0.0 2008.07.24 W32/PolySmall.BP!tr
GData 2.0.7306.1023 2008.07.24 -
Ikarus T3.1.1.34.0 2008.07.24 -
Kaspersky 7.0.0.125 2008.07.24 -
McAfee 5345 2008.07.23 -
Microsoft 1.3704 2008.07.24 Trojan:Win32/Busky.EC
NOD32v2 3293 2008.07.24 a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.24 -
PCTools 4.4.2.0 2008.07.24 -
Prevx1 V2 2008.07.24 -
Rising 20.54.32.00 2008.07.24 -
Sophos 4.31.0 2008.07.24 Mal/EncPk-DG
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.24 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.24 -
VBA32 3.12.8.1 2008.07.23 -
ViRobot 2008.7.24.1309 2008.07.24 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.24 -
weitere Informationen
File size: 86016 bytes
MD5...: c14bfd394348d539fdad62ceaba875fd
SHA1..: b118039085708a4e136027a7f32ce92fea6251be
SHA256: 129d0833a26e1e9140025c5564bf70ad471aec771302feea1a0729dfcc9e6fb4
SHA512: d8b3c39aff2e34932e3c40f11764f28c5ee6c4fc8f43b79411ee20df4a013b4f
4a7a7121fcd1857b7d9fcde8e7c10f2abe9c98c070b74f5f9c3fd3e03627a07c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401e49
timedatestamp.....: 0x48884520 (Thu Jul 24 09:02:24 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nkwbq 0x1000 0x11280 0x12000 6.70 3ff3ef0da8512c20b3181b17c53af98f
.uruws 0x13000 0x718 0x1000 2.96 c290b6839b344edb80c9ebfea0053919
.lywbsb 0x14000 0x59d8 0x1000 0.62 c3fe94eeb5b0505c256af0ac8edb45e9

( 4 imports )
> KERNEL32.dll: GetModuleFileNameW, LoadLibraryW, FindClose, SetCurrentDirectoryW, GlobalUnlock, GetFileAttributesExW, FindResourceW, VirtualAlloc, CloseHandle, CreateThread, SetEndOfFile, SetThreadPriority, GetFileAttributesW, GetUserDefaultLangID, GlobalLock, GetModuleHandleW, ReadProcessMemory, CreateProcessW, FindFirstChangeNotificationW, LoadLibraryA, LoadResource, GetPrivateProfileStringW, FreeLibrary, GetLocalTime, GetProcAddress, FindResourceExW, SizeofResource, GetCurrentProcessId, MoveFileW, GetDriveTypeW
> USER32.dll: DispatchMessageW, CreatePopupMenu, wsprintfW, GetSysColor, TranslateMessage, EndDialog, MessageBoxW, PostMessageW, SetCapture, LoadStringW, SendDlgItemMessageW, IsDlgButtonChecked, CreateWindowExW, ReleaseDC, RegisterClassExW, GetWindowDC, OffsetRect, SystemParametersInfoW, GetParent, UpdateWindow, GetMessageW, SendMessageW
> GDI32.dll: LineTo, CreatePen, DPtoLP, GetDeviceCaps, DeleteObject, SetDIBits, CreateRoundRectRgn, SetMapMode, Rectangle
> ADVAPI32.dll: RegCloseKey, RegDeleteValueW, RegCreateKeyExW, RegNotifyChangeKeyValue

( 0 exports )

____________

AhnLab-V3 2008.7.24.0 2008.07.24 -
AntiVir 7.8.1.11 2008.07.24 -
Authentium 5.1.0.4 2008.07.24 -
Avast 4.8.1195.0 2008.07.24 -
AVG 8.0.0.130 2008.07.24 Downloader.Swizzor
BitDefender 7.2 2008.07.24 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.24 -
DrWeb 4.44.0.09170 2008.07.24 -
eSafe 7.0.17.0 2008.07.24 -
eTrust-Vet 31.6.5979 2008.07.24 -
Ewido 4.0 2008.07.24 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.24 -
Fortinet 3.14.0.0 2008.07.24 W32/PolySmall.BP!tr
GData 2.0.7306.1023 2008.07.24 -
Ikarus T3.1.1.34.0 2008.07.24 -
Kaspersky 7.0.0.125 2008.07.24 -
McAfee 5345 2008.07.23 -
Microsoft 1.3704 2008.07.24 Trojan:Win32/Busky.EC
NOD32v2 3293 2008.07.24 a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.24 -
PCTools 4.4.2.0 2008.07.24 -
Prevx1 V2 2008.07.24 -
Rising 20.54.32.00 2008.07.24 -
Sophos 4.31.0 2008.07.24 Mal/EncPk-DG
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.24 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.24 -
VBA32 3.12.8.1 2008.07.23 -
ViRobot 2008.7.24.1309 2008.07.24 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.24 -
weitere Informationen
File size: 77824 bytes
MD5...: 5eeaa3b07923b049213564f70bdec4ce
SHA1..: 95cbbbe57e1629c3b936da8e756a3df52afef752
SHA256: 64ffabfb53854793833a3340aad9c0e277adba80a1fc4044023ad13481725fba
SHA512: 9d021c764fdba813a5101b9d2be40d1842b3992f40d13a98a7a36e037aff6b72
078ec0b6c0d794ba66fb925e68859a2787662b83e70cce2495e511f02b38817e
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401d74
timedatestamp.....: 0x4887481a (Wed Jul 23 15:02:50 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.qtnnd 0x1000 0xfea8 0x10000 6.86 e2ddec0e2fd7e1fc3dd402e037df1089
.vlys 0x11000 0x65e 0x1000 2.70 e70087782d27659090b1848cb3e19069
.srqcp 0x12000 0x59f4 0x1000 0.47 2e0ebd936be13aade699e094b6e7108b

( 4 imports )
> KERNEL32.dll: GlobalLock, LoadLibraryW, GetModuleHandleW, GetProcAddress, GetFileSize, ReadProcessMemory, CloseHandle, CreateFileW, lstrcpyW, GetModuleFileNameW, CreateThread, GetCurrentThread, WaitForMultipleObjects, MulDiv, GetFileAttributesW, GetTickCount, GetLogicalDrives, SetWaitableTimer, GetFileAttributesExW, LoadLibraryA, ReadFile, ResetEvent, FindFirstFileW
> USER32.dll: DestroyIcon, DialogBoxParamW, SendMessageW, RedrawWindow, TranslateMessage, GetDlgItem, SetDlgItemTextW, GetClassNameW, GetMessageW, IsDlgButtonChecked, SetWindowPos, VkKeyScanW, UpdateWindow, RegisterWindowMessageW, SetCursor, RegisterClassExW, GetWindowTextW, SendDlgItemMessageW, LoadIconW, PostQuitMessage
> GDI32.dll: LineTo, GetMapMode, GetClipBox, SetBkMode, GetObjectW, DeleteObject, DeleteDC, CreateCompatibleDC, CreateRoundRectRgn, CreateDCW, Rectangle
> ADVAPI32.dll: LookupPrivilegeValueW, RegOpenKeyExW, RegNotifyChangeKeyValue, RegSetValueExW

( 0 exports )

___________

AhnLab-V3 2008.7.24.0 2008.07.24 -
AntiVir 7.8.1.11 2008.07.24 -
Authentium 5.1.0.4 2008.07.24 -
Avast 4.8.1195.0 2008.07.24 -
AVG 8.0.0.130 2008.07.24 Downloader.Swizzor
BitDefender 7.2 2008.07.24 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.24 -
DrWeb 4.44.0.09170 2008.07.24 -
eSafe 7.0.17.0 2008.07.24 -
eTrust-Vet 31.6.5979 2008.07.24 -
Ewido 4.0 2008.07.24 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.24 -
Fortinet 3.14.0.0 2008.07.24 W32/PolySmall.BP!tr
GData 2.0.7306.1023 2008.07.24 -
Ikarus T3.1.1.34.0 2008.07.24 -
Kaspersky 7.0.0.125 2008.07.24 -
McAfee 5345 2008.07.23 -
Microsoft 1.3704 2008.07.24 Trojan:Win32/Busky.EI
NOD32v2 3293 2008.07.24 probably a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.24 -
PCTools 4.4.2.0 2008.07.24 -
Prevx1 V2 2008.07.24 -
Rising 20.54.32.00 2008.07.24 -
Sophos 4.31.0 2008.07.24 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.24 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.24 -
VBA32 3.12.8.1 2008.07.23 -
ViRobot 2008.7.24.1309 2008.07.24 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.24 -
weitere Informationen
File size: 57344 bytes
MD5...: 1e6c06e17093ca2dbc447f66b18511cf
SHA1..: b71549cf78fd2917b85b3d9740e6fdfa242ddeef
SHA256: 7402570eacb596a1a2299818ba7ebe5a5e6894255c760f09e4643ae3e71e1cce
SHA512: bffd5ded36ca1361aeff2e01662b2d1f64bfc73a156f230253ef636008208f6b
2f1db2462514ff77ce39774b9d22b9264c968f05b1713a2e9b088e578851a7c3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401131
timedatestamp.....: 0x488741e7 (Wed Jul 23 14:36:23 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xafaa 0xb000 6.84 b8f38f3301067e37e9bbfe1f8428fad9
.rdata 0xc000 0x6b4 0x1000 2.68 9c836b96c9670cc99742a9e8917bd5d9
.data 0xd000 0x3f4 0x1000 0.27 673cab2d9e3274263b6fad8bdfe585c8

( 4 imports )
> KERNEL32.dll: GetFileSize, VirtualAlloc, CreateFileW, GlobalUnlock, SuspendThread, TerminateThread, ResetEvent, Sleep, LoadLibraryA, WritePrivateProfileStringW, GlobalAddAtomW, GetLocalTime, GlobalLock, SetEvent, GetModuleFileNameW, DeleteFileW, MoveFileW, SetThreadPriority, GetProcAddress, DuplicateHandle, LockResource, SetWaitableTimer, ResumeThread, InterlockedIncrement, GetDriveTypeW, FindNextFileW, CancelWaitableTimer, SizeofResource, GetPrivateProfileStringW
> USER32.dll: CreateWindowExW, VkKeyScanW, GetWindowThreadProcessId, AppendMenuW, GetWindowTextW, OffsetRect, RegisterWindowMessageW, GetWindowDC, InvalidateRect, PostThreadMessageW, GetCursorPos, CreatePopupMenu, EndDialog, GetKeyState
> GDI32.dll: CreateSolidBrush, GetObjectW, CreateCompatibleBitmap, SetBkMode, CreateCompatibleDC, CreateBitmap, GetMapMode, CreateFontIndirectW, CreateRoundRectRgn, SetBkColor, SetDIBits, MoveToEx
> ADVAPI32.dll: LookupAccountSidW, RegDeleteValueW, RegQueryValueExW, RegOpenKeyExW, RegNotifyChangeKeyValue

( 0 exports )

_____

Rest folgt gleich...

Swisstreasure · 24 Juli 2008

@ asme

Fixe noch mit HJT und lass Malwarebytes laufen und poste das Ergebnis.

Ist für mich:

Code:

2008-07-24 11:18 . 2008-07-24 11:18 86,016 --a------ C:\WINDOWS\system32\zgfargze.exe
2008-07-24 10:56 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-07-24 10:56 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-07-24 10:56 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-24 10:12 . 2008-07-24 10:12 81,920 --a------ C:\WINDOWS\system32\mlenkhkl.exe
2008-07-23 18:10 . 2008-07-23 18:10 <DIR> d-------- C:\Programme\Enigma Software Group
2008-07-23 18:10 . 2008-07-23 18:10 7,862,480 --a------ C:\Dokumente und Einstellungen\Christian\Spyhunter-Detection-Utility-Install.exe
2008-07-23 17:39 . 2008-07-23 17:40 <DIR> d-------- C:\Programme\trcjgaf
2008-07-23 17:39 . 2008-07-23 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ybgdstmt
2008-07-23 17:39 . 2008-07-23 17:39 77,824 --a------ C:\WINDOWS\system32\sdejwrgl.exe
2008-07-24 09:37 3,884 ----a-w C:\WINDOWS\system32\tmp.reg
 
 
"InfoMnt"="C:\WINDOWS\system32\sdejwrgl.exe" [2008-07-23 17:39 77824]
"strsh"="C:\WINDOWS\system32\mlenkhkl.exe" [2008-07-24 10:12 81920]
"StrApi"="C:\WINDOWS\system32\zgfargze.exe" [2008-07-24 11:18 86016]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Curr entversion\policies\explorer\Run]
"ffpxR8UoYV"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ybgdstmt\mxcdgvmn.exe" [2008-07-23 17:39 57344]
 
 
C:\WINDOWS\system32\itefalyj.exe

Swisstreasure · 24 Juli 2008

@ coneman

Diese Datei dürfte noch vorhanden sein:

C:\0xf9.exe

Erstell ein neues Combofix Log.

Gruss Swiss

asme · 24 Juli 2008

@Swiss

Hier Malwarebytes:

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 985
Windows 5.1.2600 Service Pack 2

15:29:20 24.07.2008
mbam-log-7-24-2008 (15-29-20).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 96172
Laufzeit: 17 minute(s), 28 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 12
Infizierte Dateien: 21

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphc1vej0e973.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\pphc1vej0e973.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\rhc5vej0e973\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhc5vej0e973\MFC71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhc5vej0e973\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.
C:\WINDOWS\system32\blphc1vej0e973.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc5vej0e973 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc5vej0e973 (Rogue.Multiple) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc5vej0e973 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1vej0e973 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\rhc5vej0e973 (Rogue.Multiple) -> Delete on reboot.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\rhc5vej0e973\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\rhc5vej0e973\rhc5vej0e973.exe (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhc5vej0e973\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc5vej0e973\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhc5vej0e973\MFC71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhc5vej0e973\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc5vej0e973\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhc5vej0e973\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc5vej0e973\rhc5vej0e973.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc5vej0e973\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc1vej0e973.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc1vej0e973.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc1vej0e973.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphc1vej0e973.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

asme · 24 Juli 2008

@Swiss:

...und das neuste HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:42, on 24.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\itefalyj.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\HPZinw12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boulderei.ch/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MsgUiSmart] C:\WINDOWS\system32\itefalyj.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {3BA494B1-D507-4C11-9BDA-D47E1A65DFCF} (Confidence Online for Web Applications) - https://uk.dbrasweb.db.com/llclient/dbrasweb/winxp/,DanaInfo=rctoolbox2.uk.db.com+AXXPEE.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/27.49/uploader2.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - https://uk.dbrasweb.db.com/dana-cached/setup/JuniperSetupSP1.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8701 bytes

Danke für Deine Bemühungen!

Gruss, Christian

Unerwünschte Installation von XP Antivirus 2008

Mitglied

Mitglied

Stammgast

Mitglied

Mitglied

Stammgast

Mitglied

Mitglied

Mitglied

Mitglied

Stammgast

Stammgast

Stammgast

Stammgast

Stammgast

Mitglied

Stammgast

Stammgast

Mitglied

Mitglied