Spyware Alert und Windows Security Alert wie kann ich das weg machen?

28.08.2007, 18:16
...neu hier

Beiträge: 6
#1 hallo leute hab das problehm das mir immer internet seiten geöffnet werden und ich bring des ned weg ...

HijackThis Log file:

Logfile of HijackThis v1.99.1
Scan saved at 18:14:44, on 28.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\Steam\Steam.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\buffed.de\Blasc\BLASC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\iTunes\iTunes.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\Azureus\Azureus.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
d:\programme\steam\steamapps\ricofessler@yahoo.de\condition zero\hl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Darkforce\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\mxduo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] "C:\Programme\Logitech\Video\ISStart.exe"
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Programme\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [BLASC] "D:\Programme\buffed.de\Blasc\BLASC.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3564] command /c del "C:\WINDOWS\NDNuninstall6_38.exe_tobedeleted"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4771] cmd /c del "C:\WINDOWS\NDNuninstall6_38.exe_tobedeleted"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: wmphost - {E516FC2C-E9F0-43FD-AD4B-A35CD6BE7266} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {D9AC34EA-6CE7-4510-BA3F-D6BF0DDA2030} - C:\WINDOWS\wmpdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

MFG Darkforce
Seitenanfang Seitenende
28.08.2007, 20:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Benutze SmitFraudFix http://siri.geekstogo.com/SmitfraudFix_De.php
__________
MfG Argus
Seitenanfang Seitenende
28.08.2007, 20:35
...neu hier

Themenstarter

Beiträge: 6
#3 Also hier was du wolltest und danke jetzt schonmal für die hilfe...

Combo Fix Log:

ComboFix 07-08-29 - "Darkforce" 2007-08-28 20:31:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.384 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\VideoAccessCodec
C:\Programme\VideoAccessCodec\install.ico
C:\WINDOWS\dat.txt
C:\WINDOWS\main_uninstaller.exe
C:\WINDOWS\rs.txt


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-29 )))))))))))))))))))))))))))))))


2007-08-28 18:24 180,224 --a------ C:\WINDOWS\mxduo.dll
2007-08-28 17:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-08-28 17:18 <DIR> d-------- C:\WINDOWS\LastGood
2007-08-27 17:40 23,864 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2007-08-27 17:40 21,816 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2007-08-27 17:40 20,280 --a------ C:\WINDOWS\system32\drivers\SSFS0BB8.sys
2007-08-27 17:40 163,128 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2007-08-27 17:40 1,521,464 --a------ C:\WINDOWS\WRSetup.dll
2007-08-27 17:40 <DIR> d-------- C:\Programme\Webroot
2007-08-27 17:40 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Webroot
2007-08-27 17:40 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Webroot
2007-08-27 17:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Webroot
2007-08-27 16:52 82,248 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-08-27 16:52 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-27 16:52 57,672 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-08-27 16:52 40,264 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-08-27 16:52 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-08-27 16:52 <DIR> d-------- C:\Programme\Spyware Doctor
2007-08-27 16:52 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\PC Tools
2007-08-27 16:49 <DIR> d-------- C:\Programme\Trend Micro
2007-08-27 16:41 <DIR> d-------- C:\Programme\Enigma Software Group
2007-08-26 14:57 335,872 --a------ C:\WINDOWS\wmpdev.dll
2007-08-26 14:57 241,664 --a------ C:\WINDOWS\wmphost.dll
2007-08-21 18:30 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2007-08-21 18:30 <DIR> d-------- C:\Programme\Image-Line
2007-08-17 16:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-08-10 22:06 <DIR> d-------- C:\Programme\iPod
2007-08-10 11:32 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-08-01 20:29 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-29 20:31 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Azureus
2007-08-28 20:30 214 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-28 18:17 --------- d-------- C:\Programme\ICQToolbar
2007-08-28 17:52 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Skype
2007-08-28 17:21 --------- d-------- C:\Programme\PacificPoker
2007-08-28 17:19 --------- d-------- C:\Programme\themexp
2007-08-27 18:25 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\teamspeak2
2007-08-27 18:14 --------- d-------- C:\Programme\Windows Live Safety Center
2007-08-20 20:11 --------- d-------- C:\Programme\MSN Messenger
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-28 18:09 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\ICQ
2007-07-27 20:30 2187264 --a------ C:\WINDOWS\system32\kernel1.exe
2007-07-27 20:02 --------- d-------- C:\Programme\TGTSoft
2007-07-27 00:13 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\LimeWire
2007-07-25 20:25 72748 --a------ C:\WINDOWS\unins000.exe
2007-07-25 18:04 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\DivX
2007-07-23 22:23 8464 --a------ C:\WINDOWS\system32\sporder.dll
2007-07-22 20:16 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\WinRAR
2007-07-21 21:28 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Apple Computer
2007-07-21 21:28 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-07-21 21:27 --------- d-------- C:\Programme\QuickTime
2007-07-21 21:27 --------- d-------- C:\Programme\Apple Software Update
2007-07-21 21:26 --------- d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-07-21 21:26 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
2007-07-21 12:14 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\ICQ Toolbar
2007-07-21 12:09 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-21 12:06 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\InstallShield
2007-07-20 16:11 --------- d-------- C:\Programme\Skype
2007-07-20 16:11 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
2007-07-19 20:41 --------- d-------- C:\Programme\Gemeinsame Dateien\LogiShrd
2007-07-19 20:40 --------- d-------- C:\Programme\Logitech
2007-07-19 20:40 --------- d-------- C:\Programme\Gemeinsame Dateien\Logitech
2007-07-19 20:33 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\LogiShrd
2007-07-17 20:39 --------- d-------- C:\Programme\DivX
2007-07-16 16:12 81920 --a------ C:\WINDOWS\ALCFDRTM.EXE
2007-07-14 10:21 --------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-07-12 23:02 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-07-09 21:07 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-07-09 21:07 36624 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-07-09 21:07 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-09 21:07 2560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-07-09 21:07 2432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-07-09 21:07 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-09 21:07 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-07-09 21:07 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-09 21:07 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-09 21:07 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-09 21:05 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-07-09 21:05 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-07-09 21:05 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-07-09 21:05 740442 --a------ C:\WINDOWS\system32\DivX.dll
2007-07-09 21:05 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-09 21:05 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-07-09 21:05 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-07-09 21:05 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-07-09 21:05 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-07-09 21:05 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-07-09 21:05 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-07-09 21:05 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-07-09 21:05 124472 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-07-09 21:05 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-07-02 19:25 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-07-01 05:04 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Command & Conquer 3 Tiberium Wars
2007-07-01 04:31 --------- dr-h----- C:\DOKUME~1\DARKFO~1\ANWEND~1\SecuROM
2007-06-30 15:11 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-06-30 13:56 --------- d-------- C:\Programme\ATI Technologies
2007-06-30 13:28 --------- d-------- C:\Programme\MSI
2007-06-30 12:51 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-06-30 12:40 --------- d-------- C:\Programme\Realtek
2007-06-30 12:28 --------- d-------- C:\Programme\Intel
2007-06-30 11:53 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\MSN6
2007-06-30 11:53 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6
2007-06-27 11:04 2111456 --a------ C:\WINDOWS\system32\NpFp41629.dll
2007-06-17 00:11 51200 --a------ C:\WINDOWS\nircmd.exe
2007-06-13 21:25 339968 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-13 21:24 268288 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-06-13 21:23 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-06-13 21:17 42496 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-06-13 21:17 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-06-13 21:17 139264 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-06-13 21:17 118784 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-06-13 21:16 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-06-13 21:15 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-06-13 21:14 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-06-13 21:10 8097792 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-06-13 21:07 2922208 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-06-13 20:57 1512960 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-06-13 20:46 5431296 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-06-13 20:43 262144 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-06-13 20:42 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-06-13 20:41 50176 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-06-13 20:36 368640 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-06-13 14:29 520192 --------- C:\WINDOWS\system32\ati2sgag.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wmphost"= {950A079F-E5E5-427B-997C-AE1E19BC07A7} - C:\WINDOWS\wmphost.dll [2007-08-25 12:59 241664]
"wmpdev"= {59DCDA6B-306F-4BDB-969B-46CAA8A136E5} - C:\WINDOWS\wmpdev.dll [2007-08-25 12:59 335872]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

R0 JGOGO;JMicron Hot-Plug Driver;C:\WINDOWS\system32\DRIVERS\JGOGO.sys
R0 JRAID;JRAID;C:\WINDOWS\system32\DRIVERS\jraid.sys
R0 SSFS0BB8;Spy Sweeper File System Filer Driver: 0BB8;C:\WINDOWS\system32\Drivers\SSFS0BB8.SYS
R2 LANPkt;Realtek LANPkt Protocol;C:\WINDOWS\system32\DRIVERS\LANPkt.sys
R3 Diag69xp;Diag69xp;C:\WINDOWS\system32\Drivers\Diag69xp.sys
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
S3 rtl8029;Realtek RTL8029 PCI Ethernet NIC NT Driver;C:\WINDOWS\system32\DRIVERS\rtl8029.SYS
S3 RushTopDevice;RushTopDevice;\??\C:\Programme\MSI\Core Center\RushTop.sys

*Newly Created Service* - CATCHME
*Newly Created Service* - DIAG69XP

Contents of the 'Scheduled Tasks' folder
2007-08-17 18:22:16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe
2007-08-27 15:40:26 C:\WINDOWS\Tasks\wrSpySweeperTrialSweep.job - C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-29 20:31:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-29 20:32:22
C:\ComboFix-quarantined-files.txt ... 2007-08-29 20:32

--- E O F ---

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:35:11, on 29.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\Azureus\Azureus.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Steam\Steam.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Darkforce\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\mxduo.dll
O21 - SSODL: wmphost - {950A079F-E5E5-427B-997C-AE1E19BC07A7} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {59DCDA6B-306F-4BDB-969B-46CAA8A136E5} - C:\WINDOWS\wmpdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

MFG Darkforce
Seitenanfang Seitenende
28.08.2007, 20:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Bitte SmitFraudFix und nochmal ein log von HJ
__________
MfG Argus
Seitenanfang Seitenende
28.08.2007, 20:44
...neu hier

Themenstarter

Beiträge: 6
#5 SmitFraudFix v2.217

Scan done at 20:42:43.90, 2007-08-29
Run from C:\Dokumente und Einstellungen\Darkforce\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\Azureus\Azureus.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Steam\Steam.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
d:\programme\steam\steamapps\ricofessler@yahoo.de\condition zero\hl.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\mxduo.dll FOUND !
C:\WINDOWS\wmpdev.dll FOUND !
C:\WINDOWS\wmphost.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Darkforce


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Darkforce\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DARKFO~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139C+ Fast Ethernet NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{66C56FE9-72AA-46F0-B76F-A83E4ADF511C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{66C56FE9-72AA-46F0-B76F-A83E4ADF511C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{66C56FE9-72AA-46F0-B76F-A83E4ADF511C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of HijackThis v1.99.1
Scan saved at 20:43, on 2007-08-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\Azureus\Azureus.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Steam\Steam.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
d:\programme\steam\steamapps\ricofessler@yahoo.de\condition zero\hl.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\notepad.exe
C:\Dokumente und Einstellungen\Darkforce\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\mxduo.dll
O21 - SSODL: wmphost - {950A079F-E5E5-427B-997C-AE1E19BC07A7} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {59DCDA6B-306F-4BDB-969B-46CAA8A136E5} - C:\WINDOWS\wmpdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe



mehr gibts nicht mehr ^^
Seitenanfang Seitenende
28.08.2007, 20:53
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Hab ein PM geschickt,schau mal nach
__________
MfG Argus
Seitenanfang Seitenende
28.08.2007, 20:57
...neu hier

Themenstarter

Beiträge: 6
#7 Logfile of HijackThis v1.99.1
Scan saved at 21:07, on 2007-08-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Dokumente und Einstellungen\Darkforce\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\mxduo.dll
O21 - SSODL: wmphost - {950A079F-E5E5-427B-997C-AE1E19BC07A7} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {59DCDA6B-306F-4BDB-969B-46CAA8A136E5} - C:\WINDOWS\wmpdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
Dieser Beitrag wurde am 28.08.2007 um 21:08 Uhr von Dakrforce editiert.
Seitenanfang Seitenende
29.08.2007, 01:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Hab bei mir auch mal ComboFix installiert und ausgeführt danach HJ und nichts ist passiert
Bei dir ist aber die hälfte von HJ weg,hast du da sachen gefixt?
Bei SmitfraudFix wurde abschnitt 2 nicht durchgeführt!
__________
MfG Argus
Seitenanfang Seitenende
29.08.2007, 17:43
...neu hier

Themenstarter

Beiträge: 6
#9

Zitat

Arnold postete
Hab bei mir auch mal ComboFix installiert und ausgeführt danach HJ und nichts ist passiert
Bei dir ist aber die hälfte von HJ weg,hast du da sachen gefixt?
Bei SmitfraudFix wurde abschnitt 2 nicht durchgeführt!
Nicht das ich wüsste

hab den test nochmal gemacht heute

Hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:56, on 30.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\mxduo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [LogitechVideoRepair] "C:\Programme\Logitech\Video\ISStart.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Programme\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [BLASC] "D:\Programme\buffed.de\Blasc\BLASC.exe" silent
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: wmphost - {E516FC2C-E9F0-43FD-AD4B-A35CD6BE7266} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {D9AC34EA-6CE7-4510-BA3F-D6BF0DDA2030} - C:\WINDOWS\wmpdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 5320 bytes


Combofix log:

ComboFix 07-08-29 - "Darkforce" 2007-08-30 17:47:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.650 [GMT 2:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\DARKFO~1\FAVORI~1\Error Cleaner.url
C:\DOKUME~1\DARKFO~1\FAVORI~1\Privacy Protector.url
C:\DOKUME~1\DARKFO~1\FAVORI~1\Spyware&Malware Protection.url
C:\Programme\VideoAccessCodec
C:\Programme\VideoAccessCodec\install.ico
C:\WINDOWS\main_uninstaller.exe
C:\WINDOWS\rs.txt


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-30 )))))))))))))))))))))))))))))))


2007-08-30 17:43 <DIR> d-------- C:\WINDOWS\LastGood
2007-08-29 21:03 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-08-29 20:37 <DIR> d-------- C:\ComboFix(2)
2007-08-28 17:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-08-27 18:34 180,224 --a------ C:\WINDOWS\mxduo.dll
2007-08-27 17:40 23,864 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2007-08-27 17:40 21,816 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2007-08-27 17:40 20,280 --a------ C:\WINDOWS\system32\drivers\SSFS0BB8.sys
2007-08-27 17:40 163,128 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2007-08-27 17:40 1,521,464 --a------ C:\WINDOWS\WRSetup.dll
2007-08-27 17:40 <DIR> d-------- C:\Programme\Webroot
2007-08-27 17:40 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Webroot
2007-08-27 17:40 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Webroot
2007-08-27 17:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Webroot
2007-08-27 16:52 82,248 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-08-27 16:52 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-27 16:52 57,672 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-08-27 16:52 40,264 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-08-27 16:52 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-08-27 16:52 <DIR> d-------- C:\Programme\Spyware Doctor
2007-08-27 16:52 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\PC Tools
2007-08-27 16:49 <DIR> d-------- C:\Programme\Trend Micro
2007-08-27 16:41 <DIR> d-------- C:\Programme\Enigma Software Group
2007-08-26 14:57 335,872 --a------ C:\WINDOWS\wmpdev.dll
2007-08-26 14:57 241,664 --a------ C:\WINDOWS\wmphost.dll
2007-08-21 18:30 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2007-08-21 18:30 <DIR> d-------- C:\Programme\Image-Line
2007-08-17 16:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-08-10 22:06 <DIR> d-------- C:\Programme\iPod
2007-08-10 11:32 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-08-01 20:29 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-27 20:36 <DIR> d-------- C:\Programme\Windows Live Safety Center
2007-07-27 20:30 2,187,264 --a------ C:\WINDOWS\system32\kernel1.exe
2007-07-27 20:02 <DIR> d-------- C:\Programme\TGTSoft
2007-07-27 14:07 <DIR> d--h----- C:\WINDOWS\PIF
2007-07-25 21:14 <DIR> d-------- C:\DOKUME~1\DARKFO~1\Incomplete
2007-07-25 21:13 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\LimeWire
2007-07-25 19:20 1,080 --a------ C:\WINDOWS\unins000.dat
2007-07-23 22:18 8,464 --a------ C:\WINDOWS\system32\sporder.dll
2007-07-23 22:18 <DIR> d-------- C:\Programme\themexp
2007-07-22 20:16 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\WinRAR
2007-07-21 21:28 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Apple Computer
2007-07-21 21:27 <DIR> d-------- C:\Programme\QuickTime
2007-07-21 21:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-07-21 21:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-07-21 21:26 <DIR> d-------- C:\Programme\Apple Software Update
2007-07-21 21:26 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
2007-07-21 21:15 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\DivX
2007-07-21 12:14 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\ICQ Toolbar
2007-07-21 12:09 <DIR> d-------- C:\Programme\ICQToolbar
2007-07-21 12:08 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\ICQ
2007-07-21 12:06 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\InstallShield
2007-07-20 16:11 <DIR> d-------- C:\Programme\Skype
2007-07-20 16:11 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Skype
2007-07-20 16:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
2007-07-19 20:42 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2007-07-19 20:42 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-07-19 20:42 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-07-19 20:42 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-07-19 20:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2007-07-19 20:39 <DIR> d-------- C:\Programme\Logitech
2007-07-19 20:30 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-07-19 20:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LogiShrd
2007-07-19 20:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\LogiShrd
2007-07-18 20:01 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Azureus
2007-07-17 20:39 <DIR> d-------- C:\Programme\DivX
2007-07-17 20:31 86,016 --a------ C:\WINDOWS\unvise32.exe
2007-07-17 19:56 <DIR> d-------- C:\Program Files
2007-07-16 16:12 81,920 --a------ C:\WINDOWS\ALCFDRTM.EXE
2007-07-16 16:09 <DIR> d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\teamspeak2
2007-07-16 15:13 680 --a------ C:\WINDOWS\mozver.dat
2007-07-14 14:50 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2007-07-14 10:27 <DIR> d-------- C:\DOKUME~1\DARKFO~1\Contacts
2007-07-14 10:26 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-07-14 10:26 <DIR> d-------- C:\Programme\MSN Messenger
2007-07-14 10:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-07-12 23:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-07-09 21:07 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-07-09 21:07 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-09 21:07 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-09 21:07 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-02 19:30 <DIR> d-------- C:\Programme\PacificPoker
2007-07-01 04:31 <DIR> dr-h----- C:\DOKUME~1\DARKFO~1\ANWEND~1\SecuROM


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-30 17:48 1896 --a------ C:\WINDOWS\system32\tmp.reg
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-25 20:25 72748 --a------ C:\WINDOWS\unins000.exe
2007-07-21 12:09 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-09 21:07 36624 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-07-09 21:07 2560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-07-09 21:07 2432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-07-09 21:07 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-07-09 21:07 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-09 21:07 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-09 21:05 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-07-09 21:05 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-07-09 21:05 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-07-09 21:05 740442 --a------ C:\WINDOWS\system32\DivX.dll
2007-07-09 21:05 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-09 21:05 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-07-09 21:05 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-07-09 21:05 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-07-09 21:05 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-07-09 21:05 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-07-09 21:05 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-07-09 21:05 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-07-09 21:05 124472 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-07-09 21:05 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-07-02 19:25 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-07-01 05:04 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\Command & Conquer 3 Tiberium Wars
2007-06-30 15:11 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-06-30 13:56 --------- d-------- C:\Programme\ATI Technologies
2007-06-30 13:28 --------- d-------- C:\Programme\MSI
2007-06-30 12:51 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-06-30 12:40 --------- d-------- C:\Programme\Realtek
2007-06-30 12:28 --------- d-------- C:\Programme\Intel
2007-06-30 11:53 --------- d-------- C:\DOKUME~1\DARKFO~1\ANWEND~1\MSN6
2007-06-30 11:53 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6
2007-06-27 11:04 2111456 --a------ C:\WINDOWS\system32\NpFp41629.dll
2007-06-17 00:11 51200 --a------ C:\WINDOWS\nircmd.exe
2007-06-13 21:25 339968 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-13 21:24 268288 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-06-13 21:23 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-06-13 21:17 42496 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-06-13 21:17 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-06-13 21:17 139264 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-06-13 21:17 118784 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-06-13 21:16 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-06-13 21:15 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-06-13 21:14 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-06-13 21:10 8097792 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-06-13 21:07 2922208 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-06-13 20:57 1512960 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-06-13 20:46 5431296 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-06-13 20:43 262144 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-06-13 20:42 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-06-13 20:41 50176 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-06-13 20:36 368640 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-06-13 14:29 520192 --------- C:\WINDOWS\system32\ati2sgag.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 17:32]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-07-31 18:44]
"SpySweeper"="C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" [2007-07-19 22:54]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-19 11:12 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 C:\WINDOWS\SkyTel.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"SpyHunter"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe" []
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 15:14]
"DiagAP8169"="C:\Programme\MSI\LAN Utility\DiagAP8169 /hw" []
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 15:24]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-08-20 20:11]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" []
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44]
"BLASC"="D:\Programme\buffed.de\Blasc\BLASC.exe" [2007-08-03 13:49]
"ICQ"="D:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-08-17 03:45]
"Steam"="D:\Programme\Steam\Steam.exe" [2007-07-14 11:03]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wmphost"= {E516FC2C-E9F0-43FD-AD4B-A35CD6BE7266} - C:\WINDOWS\wmphost.dll [2007-08-25 12:59 241664]
"wmpdev"= {D9AC34EA-6CE7-4510-BA3F-D6BF0DDA2030} - C:\WINDOWS\wmpdev.dll [2007-08-25 12:59 335872]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

R0 JGOGO;JMicron Hot-Plug Driver;C:\WINDOWS\system32\DRIVERS\JGOGO.sys
R0 JRAID;JRAID;C:\WINDOWS\system32\DRIVERS\jraid.sys
R0 SSFS0BB8;Spy Sweeper File System Filer Driver: 0BB8;C:\WINDOWS\system32\Drivers\SSFS0BB8.SYS
R2 LANPkt;Realtek LANPkt Protocol;C:\WINDOWS\system32\DRIVERS\LANPkt.sys
S3 Diag69xp;Diag69xp;C:\WINDOWS\system32\Drivers\Diag69xp.sys
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
S3 rtl8029;Realtek RTL8029 PCI Ethernet NIC NT Driver;C:\WINDOWS\system32\DRIVERS\rtl8029.SYS
S3 RushTopDevice;RushTopDevice;\??\C:\Programme\MSI\Core Center\RushTop.sys

*Newly Created Service* - CATCHME

Contents of the 'Scheduled Tasks' folder
2007-08-17 18:22:16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe
2007-08-27 15:40:26 C:\WINDOWS\Tasks\wrSpySweeperTrialSweep.job - C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-30 17:49:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-30 17:49:25
C:\ComboFix-quarantined-files.txt ... 2007-08-30 17:49
C:\ComboFix2.txt ... 2007-08-29 20:32

--- E O F ---

SmitfraudFix Log:

C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\main_uninstaller.exe FOUND !
C:\WINDOWS\mxduo.dll FOUND !
C:\WINDOWS\wmpdev.dll FOUND !
C:\WINDOWS\wmphost.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Darkforce


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Darkforce\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DARKFO~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139C+ Fast Ethernet NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{66C56FE9-72AA-46F0-B76F-A83E4ADF511C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{66C56FE9-72AA-46F0-B76F-A83E4ADF511C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{66C56FE9-72AA-46F0-B76F-A83E4ADF511C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Dieser Beitrag wurde am 29.08.2007 um 17:55 Uhr von Dakrforce editiert.
Seitenanfang Seitenende
29.08.2007, 19:29
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Entferne auf C:\Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\mxduo.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O21 - SSODL: wmphost - {E516FC2C-E9F0-43FD-AD4B-A35CD6BE7266} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {D9AC34EA-6CE7-4510-BA3F-D6BF0DDA2030} - C:\WINDOWS\wmpdev.dll

klicke: Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


Note nur wenn:
C:\WINDOWS\mxduo.dll
C:\WINDOWS\wmphost.dll
C:\WINDOWS\wmpdev.dll
noch anwesend sind OTMoveIt anwenden

Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\mxduo.dll
C:\WINDOWS\wmphost.dll
C:\WINDOWS\wmpdev.dll

im linken Fenster ,wo steht "Paste List of Files/Folders to be moved"

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen

ComboFix wieder entfernen

Es ist 29-08-2007 deine Datum stet auf 30-08?
__________
MfG Argus
Seitenanfang Seitenende
29.08.2007, 21:59
...neu hier

Beiträge: 1
#11 Hallo
Ich hab dieses Problem nun das zweite Mal. Bei der ersten Infizierung hab ich es sehr schnell mit Smitfraudfix beseitigt, doch aus unerklärlichen Gründen funktioniert es nicht mehr, weil das Programm immer einen Fehler anzeigt.

Also hab ich HijackThis ausprobiert und meine Log-Datei mit anderen Log's verglichen. Mir ist aufgefallen das 2 DLL's (wmphost.dll und wmpdev.dll ) in jedem Bericht vorkommen, aber nirgends eine Beschreibung zu finden ist, also hab ich sie gelöscht. Jetzt funktioniert alles wieder einwandfrei.

Die beiden DLL's sind im Windows-Ordner zu finden. (Zum Beispiel C:\WINDOWS)

Ich hoffe, dass dieser Beitrag euch weiterhilft.

Gruß, Mandora
Seitenanfang Seitenende
29.08.2007, 22:22
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Danke Mandora mit OTMovIt gehts auch
__________
MfG Argus
Seitenanfang Seitenende
30.08.2007, 16:29
...neu hier

Themenstarter

Beiträge: 6
#13 Ich danke euch für die hilfe jetzt ist alles wieder in ortnung ;) freut mich
Seitenanfang Seitenende