Ich habe keine ahnung wie ich TR/Swizzor.A los bekomme

#1 Hallo ich bin neu hier und brauch bitte hilfe!

Ich habe den TR/Swizzor.A auch bekommen und ich habe keine ahnung wie ich den wieder los bekomme! Kann mir bitte jemand helfen?
Danke schon mal im vorraus!!

#2 Hi,

welchen Virenscanner hast Du? war dieser nicht erfolgreich?
hier findest Du weitere (kostenlose) Antivirus Tools:
http://board.protecus.de/t8642.htm

oder nimm Antivir: ->
http://www.free-av.de/down/windows/antivir_workstation_win7u_de_h.exe

Greetz Lp

#3 123nicole

es gibt inzwischen schon genuegend Threads in diesem Forum zum Thema..ich mache zur Zeit nichts anderes...
(der Antivirus loescht das nicht......)

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

dann stelle ich dir eine Reinigung zusammen
__________
MfG Sabina

rund um die PC-Sicherheit

#4 hallo.....
ich habe auch diesen blöden virus!wäre echt cool wenn du mir auch helfen könntest, weil ich von sowas echt keine ahnung habe.

mein log, wenn das richtig ist:

Logfile of HijackThis v1.99.1
Scan saved at 15:22:06, on 30.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\AOL\1145866609\ee\aolsoftware.exe
c:\programme\gemeinsame dateien\aol\1145866609\ee\aim6.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://redirect.zonelabs.com/redirect/route?oem=4901&prod=1&mode=8&app=inclient&lang=de&date=0&link_id=5&dest=try_buy_product
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Programme\AOL\AOL Toolbar 3.0\aoltb.dll (file missing)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1546D2FA-C8C4-D5BA-ED0D-47AA45FB8A4B} - C:\DOKUME~1\Besitzer\ANWEND~1\CITYPE~1\blue browse.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 3.0\aoltb.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 3.0\aoltb.dll (file missing)
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Pop Bike Sign Logo] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SLOWMAGSPOPBIKE\help sixth.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [owns balm] C:\DOKUME~1\Besitzer\ANWEND~1\GLUEGR~1\MODEMATHMOVE.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &AOL Toolbar Search - c:\programme\aol\aol toolbar 3.0\resources\en-US\local\search.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 3.0\aoltb.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10908.dll' missing
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

ich hoffe du kannst mir helfen, habe übrigens auch antivir
danke

#5 Bastian Fisc

CleanUp
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {1546D2FA-C8C4-D5BA-ED0D-47AA45FB8A4B} - C:\DOKUME~1\Besitzer\ANWEND~1\CITYPE~1\blue browse.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Pop Bike Sign Logo] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SLOWMAGSPOPBIKE\help sixth.exe
O4 - HKCU\..\Run: [owns balm] C:\DOKUME~1\Besitzer\ANWEND~1\GLUEGR~1\MODEMATHMOVE.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

PC neustarten

**
deinstalliere
MessengerPlus! 3+Sponsor
C:\Programme\PartyGaming

**
arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

Loesche:

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\CITYPE.....
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GLUEGR.....
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SLOWMAGSPOPBIKE\

-----------------------------------------------------------------------------

Counterspy (nach dem scan alles auf *remove stellen
**
scanne mit dr.web
**
Onlinescan-Panda (alles manuell loeschen)
**
noch mal cleanup anwenden

-------

wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#6 ok danke, hört sich aber verdammt kompliziert an.Ich werde mich da nachher mal in ruhe dran setzten.
Danke nochmal

#7 wenn es Probleme gibt..melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hi, bin auch neu hier und hab mich mit Swizzor .a infiziert, denk ich auf jedenfall mal...

Logfile von Hijackthis sieht so aus:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:18, on 17.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Steganos Safe 2008\SteganosHotKeyService.exe
C:\Programme\Steganos Safe 2008\fredirstarter.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\DOKUME~1\Bier\EIGENE~1\Jonas\RESTLI~1\mousometer.exe
C:\Programme\RBTray\RBTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox 3 Beta 1\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = "http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: System Process - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - C:\WINDOWS\system32\navshext1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ante cast ooze tray] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bin Wait Ante Cast\4 hold.exe
O4 - HKLM\..\Run: [SAFE2008 HotKeys] "C:\Programme\Steganos Safe 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SAFE2008 File Redirection Starter] "C:\Programme\Steganos Safe 2008\fredirstarter.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [eggs bits] C:\DOKUME~1\Bier\ANWEND~1\TRAYCO~1\Mediacastsave.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mousometer.lnk = C:\DOKUME~1\Bier\EIGENE~1\Jonas\RESTLI~1\mousometer.exe
O4 - Startup: RBTray.lnk = C:\Programme\RBTray\RBTray.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Bier\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120309897645
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
O24 - Desktop Component 1: (no name) - http://www.silvester-ist-bald.de.ms/

--
End of file - 12781 bytes


Wäre echt nett wenn mir jemand helfen könnte

Danke.

#9 Hallo littledevil

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)

O2 - BHO: System Process - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - C:\WINDOWS\system32\navshext1.dll (file missing)

O4 - HKLM\..\Run: [ante cast ooze tray] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bin Wait Ante Cast\4 hold.exe

O4 - HKCU\..\Run: [eggs bits] C:\DOKUME~1\Bier\ANWEND~1\TRAYCO~1\Mediacastsave.exe

O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP

2.
wende an: CID-Killer und deljob und HostsXpert und counterspy
http://virus-protect.org/artikel/tools/cid-uninstaller.html

3.
poste das log von Combofix (Warnmeldung wegklicken)
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 So, hab alles durch.
Bis jetzt siehts ganz gut aus, Internet Explorer steht nicht mehr unter Prozesse im Task Manager.

Combofix Log:


ComboFix 08-04-17.1 - Bier 2008-04-18 15:22:33.1 - [color=red]FAT32[/color]x86

ausgeführt von:: C:\Dokumente und Einstellungen\Bier\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
[color=purple]The following files were disabled during the run:[/color]
C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
C:\Programme\myglobalsearch

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.

2008-04-18 15:27 . 2008-04-18 15:27 53,248 --a------ C:\WINDOWS\PSEXESVC.EXE
2008-04-18 15:22 . 2008-04-18 15:22 6,736 --a------ C:\WINDOWS\system32\drivers\PROCEXP90.SYS
2008-04-18 15:15 . 2008-04-18 15:15 <DIR> d-------- C:\Programme\CleanUp!
2008-04-18 14:02 . 2008-04-18 14:02 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-04-18 13:58 . 2008-04-18 13:58 <DIR> d-------- C:\Programme\Sunbelt Software
2008-04-18 13:58 . 2008-04-18 13:58 <DIR> d-------- C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\Sunbelt Software
2008-04-18 13:58 . 2008-04-18 13:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sunbelt Software
2008-04-17 17:20 . 2008-04-17 17:20 <DIR> d-------- C:\Programme\MoviePlayer
2008-04-17 17:20 . 2008-04-17 17:20 22,016 --a------ C:\WINDOWS\system32\prospeed_bmp2jpg.dll
2008-04-14 18:57 . 2008-04-14 18:57 <DIR> d-------- C:\Programme\Cheating-Death
2008-04-14 18:54 . 2008-04-14 18:55 <DIR> d-------- C:\Programme\Counter-Strike 1.6
2008-03-18 22:43 . 2008-03-18 22:43 <DIR> d-------- C:\Programme\Plus!
2008-03-18 15:30 . 2008-03-18 15:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-18 15:29 . 2008-03-18 15:29 <DIR> d-------- C:\Programme\iPod
2008-03-18 15:29 . 2008-03-18 15:29 <DIR> d-------- C:\Programme\Bonjour
3 Datei(en) . 3,257 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-18 13:21 --------- d-----w C:\Programme\TuneUp WinStyler
2008-04-18 13:20 1,610,612,736 --sha-w C:\pagefile.sys
2008-04-18 13:15 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 1
2008-04-17 14:50 --------- d-----w C:\Programme\ICQToolbar
2008-04-14 17:24 --------- d-----w C:\Programme\Paint Shop Pro 7
2008-04-12 15:59 --------- d-----w C:\Programme\Codemasters
2008-04-11 12:54 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\mIRC
2008-04-11 12:45 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\ICQ
2008-04-06 05:56 19,836,024 -c--a-w C:\WINDOWS\system32\MRT.exe
2008-04-04 18:20 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-04-03 15:57 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\Azureus
2008-04-03 15:47 --------- d-----w C:\Programme\Azureus
2008-04-03 15:09 --------- d-----w C:\Programme\Valve
2008-03-20 23:51 --------- d-----w C:\Programme\PeerGuardian2
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-18 13:28 --------- d-----w C:\Programme\QuickTime
2008-03-12 12:14 16,384 ----a-w C:\__fio_test_350__.dat
2008-02-28 19:44 --------- d-----w C:\Programme\QIP
2008-02-28 15:36 --------- d-----w C:\Programme\SpyCQ
2008-02-27 17:23 --------- d-----w C:\Programme\Steganos Safe 2008
2008-02-27 17:02 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\Steganos
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 09:30 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-16 09:30 620,544 ----a-w C:\WINDOWS\system32\urlmon.dll
2008-02-16 09:30 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
2008-02-16 09:30 1,056,256 ----a-w C:\WINDOWS\system32\danim.dll
2008-02-05 15:36 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-02-05 15:36 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-05 15:36 22,328 ----a-w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\PnkBstrK.sys
2008-02-05 15:36 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-02 17:23 3,982 ----a-w C:\WINDOWS\kj01d.sys
2007-10-22 02:49 867,848 ----a-w C:\Programme\NOV2007_d3dx10_36_x64.cab
2007-10-22 02:49 807,132 ----a-w C:\Programme\NOV2007_d3dx10_36_x86.cab
2007-10-22 02:49 49,392 ----a-w C:\Programme\NOV2007_X3DAudio_x64.cab
2007-10-22 02:49 44,850 ----a-w C:\Programme\dxdllreg_x86.cab
2007-10-22 02:49 21,744 ----a-w C:\Programme\NOV2007_X3DAudio_x86.cab
2007-10-22 02:49 200,010 ----a-w C:\Programme\NOV2007_XACT_x64.cab
2007-10-22 02:49 151,512 ----a-w C:\Programme\NOV2007_XACT_x86.cab
2007-10-22 02:49 1,805,306 ----a-w C:\Programme\NOV2007_d3dx9_36_x64.cab
2007-10-22 02:49 1,712,608 ----a-w C:\Programme\NOV2007_d3dx9_36_x86.cab
2006-06-26 09:44 1,758 -c----w C:\Programme\default.conf
2005-02-25 14:48 2,690 -c--a-w C:\Programme\changelog.txt
2005-02-25 14:47 907,264 -c----w C:\Programme\DeskKit.exe
2004-10-20 18:13 0 -c--a-w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\wklnhst.dat
2004-10-20 18:13 0 -c--a-w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\wklnhst.dat
2004-10-20 18:13 0 -c--a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2004-11-12 10:17 8 -csha-r C:\WINDOWS\system32\C3A5F9DBA9.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus DX4200 Series"="REG_SZ " []
"updateMgr"="REG_SZ " []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="REG_SZ " []
"ICQ"="REG_SZ " []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="REG_SZ " []
"NBKeyScan"="REG_SZ " []
"ISUSPM Startup"="REG_SZ " []
"TkBellExe"="REG_SZ " []
"SAFE2008 HotKeys"="REG_SZ " []
"SAFE2008 File Redirection Starter"="REG_SZ " []
"PinnacleDriverCheck"="REG_SZ " []
"QuickTime Task"="REG_SZ " []
"iTunesHelper"="REG_SZ " []
"SBCSTray"="REG_SZ " []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="REG_SZ " []
"InfoCockpit"="REG_SZ " []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"=
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"=
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"=
"C:\\Programme\\devolo\\informer\\devinf.exe"=
"C:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Ahead\\SIPPS\\SIPPS.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"%windir%\\system32\\ccapp.exe"= %windir%\\system32\\unst.exe
"C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\Programme\\T-Online\\T-Online_Software_6\\Browser\\browser.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=
"C:\\Programme\\SCi\\Conflict\\Desert Storm\\DesertStorm.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"=
"C:\\Dokumente und Einstellungen\\Bier\\Eigene Dateien\\Jonas\\restliche daten\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\Programme\\phase5\\htmledit.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Dokumente und Einstellungen\\Bier\\Eigene Dateien\\Jonas\\restliche daten\\Warez\\Gamez\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=
"C:\\Programme\\CesarFTP\\Server.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II\\empires2.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"C:\\Programme\\Counter-Strike 1.6\\hl.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d9e7eab-52c9-11d9-9e07-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ea0518a-23f2-11d7-abf5-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{926d7985-3641-11d9-bcc3-00110979e181}]
\Shell\AutoRun\command - K:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a99bd6a9-3d7f-11d9-bd1c-806d6172696f}]
\Shell\AutoRun\command - hh start.chm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8e05e86-372d-11d9-bcc7-00038a000015}]
\Shell\AutoRun\command - H:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da7eedc0-3d80-11d9-bcc8-00038a000015}]
\Shell\AutoRun\command - L:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f173e39c-4f6f-11d9-ac01-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb5dff51-3e50-11d9-abee-0007caffdc48}]
\Shell\AutoRun\command - L:\OEMBranding.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
.
**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\SYZ_DAT
C:\WINDOWS\system32\drivers\MFX.sys 45824 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\WINDOWS\TEMP\mc21.tmp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll

PROCESS: C:\WINDOWS\system32\csrss.exe
-> C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll
.
Zeit der Fertigstellung: 2008-04-18 15:30:32
ComboFix-quarantined-files.txt 2008-04-18 13:29:44

29 Verzeichnis(se), 8,295,809,024 Bytes frei

#11 littledevil

««
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

mchInjDrv

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-04-18 18:28:20 for strings:
; 'mchinjdrv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]
"Service"="mchInjDrv"
"DeviceDesc"="mchInjDrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
"ActiveService"="mchInjDrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000]
"Service"="mchInjDrv"
"DeviceDesc"="mchInjDrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mchInjDrv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]
"Service"="mchInjDrv"
"DeviceDesc"="mchInjDrv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
"ActiveService"="mchInjDrv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"

; End Of The Log...

#13 littledevil

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
mchInjDrv

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MCHINJDRV]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]

File::
C:\WINDOWS\TEMP\mc21.tmp

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

««
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#14 ComboFix 08-04-17.1 - Bier 2008-04-19 14:31:41.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.617 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bier\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Bier\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\TEMP\mc21.tmp
.
[color=purple]The following files were disabled during the run:[/color]
C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll


(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
C:\Programme\myglobalsearch

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MCHINJDRV
-------\Service_mchInjDrv


((((((((((((((((((((((( Dateien erstellt von 2008-03-19 bis 2008-04-19 ))))))))))))))))))))))))))))))
.

2008-04-19 14:31 . 2008-04-19 14:57 <DIR> d-------- C:\ComboFix
2008-04-18 19:21 . 2008-04-18 19:21 0 --ah----- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.rctemp.LOG
2008-04-18 19:21 . 2008-04-18 19:21 0 --ah----- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.rctemp.LOG
2008-04-18 19:21 . 2008-04-18 19:21 0 --ah----- C:\Dokumente und Einstellungen\Bier\ntuser.dat.rctemp.LOG
2008-04-18 19:18 . 2008-04-18 19:18 <DIR> d-------- C:\Programme\RegCompact Pro
2008-04-18 15:27 . 2008-04-19 14:35 53,248 --a------ C:\WINDOWS\PSEXESVC.EXE
2008-04-18 15:15 . 2008-04-18 15:15 <DIR> d-------- C:\Programme\CleanUp!
2008-04-18 14:02 . 2008-04-18 15:13 1,432 --a------ C:\WINDOWS\system32\SBFC.dat
2008-04-18 14:02 . 2008-04-18 14:02 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-04-18 13:58 . 2008-04-18 13:58 <DIR> d-------- C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\Sunbelt Software
2008-04-18 13:58 . 2008-04-18 13:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sunbelt Software
2008-04-17 17:40 . 2008-04-17 17:40 <DIR> d-------- C:\Programme\Trend Micro
2008-04-17 17:20 . 2008-04-17 17:20 <DIR> d-------- C:\Programme\MoviePlayer
2008-04-17 17:20 . 2008-04-17 17:20 22,016 --a------ C:\WINDOWS\system32\prospeed_bmp2jpg.dll
2008-04-17 17:20 . 2008-04-18 20:08 281 --a------ C:\WINDOWS\mpsettings.ini
2008-04-14 18:54 . 2008-04-14 18:55 <DIR> d-------- C:\Programme\Counter-Strike 1.6
2008-03-25 18:01 . 2008-03-26 23:33 <DIR> d-------- C:\Programme\ICQLite
2008-03-25 17:56 . 2008-03-25 20:46 <DIR> d-------- C:\Programme\ICQ6
8 Datei(en) . 18,880,866 C:\ComboFix\Bytes
5 Datei(en) . 484,372 C:\ComboFix\Bytes
3 Datei(en) . 7,037 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-19 12:56 --------- d-----w C:\Programme\TuneUp WinStyler
2008-04-19 12:37 1,073,270,784 --sha-w C:\hiberfil.sys
2008-04-18 17:24 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 1
2008-04-17 14:50 --------- d-----w C:\Programme\ICQToolbar
2008-04-14 17:24 --------- d-----w C:\Programme\Paint Shop Pro 7
2008-04-12 15:59 --------- d-----w C:\Programme\Codemasters
2008-04-11 12:54 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\mIRC
2008-04-11 12:45 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\ICQ
2008-04-04 18:20 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-04-03 15:57 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\Azureus
2008-04-03 15:47 --------- d-----w C:\Programme\Azureus
2008-04-03 15:09 --------- d-----w C:\Programme\Valve
2008-03-20 23:51 --------- d-----w C:\Programme\PeerGuardian2
2008-03-18 20:43 --------- d-----w C:\Programme\Plus!
2008-03-18 13:30 --------- d-----w C:\Programme\iTunes
2008-03-18 13:29 --------- d-----w C:\Programme\iPod
2008-03-18 13:29 --------- d-----w C:\Programme\Bonjour
2008-03-18 13:28 --------- d-----w C:\Programme\QuickTime
2008-03-12 12:14 16,384 ----a-w C:\__fio_test_350__.dat
2008-02-28 19:44 --------- d-----w C:\Programme\QIP
2008-02-28 15:36 --------- d-----w C:\Programme\SpyCQ
2008-02-27 17:23 --------- d-----w C:\Programme\Steganos Safe 2008
2008-02-27 17:02 --------- d-----w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\Steganos
2008-02-05 15:36 22,328 ----a-w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\PnkBstrK.sys
2008-02-02 17:23 3,982 ----a-w C:\WINDOWS\kj01d.sys
2007-10-22 02:49 867,848 ----a-w C:\Programme\NOV2007_d3dx10_36_x64.cab
2007-10-22 02:49 807,132 ----a-w C:\Programme\NOV2007_d3dx10_36_x86.cab
2007-10-22 02:49 49,392 ----a-w C:\Programme\NOV2007_X3DAudio_x64.cab
2007-10-22 02:49 44,850 ----a-w C:\Programme\dxdllreg_x86.cab
2007-10-22 02:49 21,744 ----a-w C:\Programme\NOV2007_X3DAudio_x86.cab
2007-10-22 02:49 200,010 ----a-w C:\Programme\NOV2007_XACT_x64.cab
2007-10-22 02:49 151,512 ----a-w C:\Programme\NOV2007_XACT_x86.cab
2007-10-22 02:49 1,805,306 ----a-w C:\Programme\NOV2007_d3dx9_36_x64.cab
2007-10-22 02:49 1,712,608 ----a-w C:\Programme\NOV2007_d3dx9_36_x86.cab
2006-06-26 09:44 1,758 -c----w C:\Programme\default.conf
2005-02-25 14:48 2,690 -c--a-w C:\Programme\changelog.txt
2005-02-25 14:47 907,264 -c----w C:\Programme\DeskKit.exe
2004-10-20 18:13 0 -c--a-w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\wklnhst.dat
2004-10-20 18:13 0 -c--a-w C:\Dokumente und Einstellungen\Bier\Anwendungsdaten\wklnhst.dat
2004-10-20 18:13 0 -c--a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2004-11-12 10:17 8 -csha-r C:\WINDOWS\system32\C3A5F9DBA9.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-18_15.29.36,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-18 13:20:25 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-19 12:37:20 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2004-08-10 12:00:00 401,408 ----a-w C:\WINDOWS\system32\CF31566.exe
- 2008-04-18 11:40:40 75,012 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-04-19 12:58:53 75,012 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-04-18 11:40:40 63,826 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-19 12:58:53 63,826 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-18 11:40:40 416,520 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-04-19 12:58:53 416,520 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-04-18 11:40:40 404,860 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-19 12:58:53 404,860 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-19 12:38:11 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_32c.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 13:51 202024]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 10:25 1828136]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 17:30 249856]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-08 19:53 185632]
"SAFE2008 HotKeys"="C:\Programme\Steganos Safe 2008\SteganosHotKeyService.exe" [2007-12-21 14:26 25088]
"SAFE2008 File Redirection Starter"="C:\Programme\Steganos Safe 2008\fredirstarter.exe" [2007-12-19 12:01 57344]
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-10 16:26 406016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-06-15 15:17 699120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-01-16 11:56 176128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"=
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"=
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"=
"C:\\Programme\\devolo\\informer\\devinf.exe"=
"C:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Ahead\\SIPPS\\SIPPS.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"%windir%\\system32\\ccapp.exe"= %windir%\\system32\\unst.exe
"C:\\Programme\\Gemeinsame Dateien\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\Programme\\T-Online\\T-Online_Software_6\\Browser\\browser.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Dokumente und Einstellungen\\Bier\\Eigene Dateien\\Jonas\\restliche daten\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\Programme\\phase5\\htmledit.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\CesarFTP\\Server.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II\\empires2.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"C:\\Programme\\Counter-Strike 1.6\\hl.exe"=

R0 PzWDM;PzWDM;C:\WINDOWS\system32\Drivers\PzWDM.sys [2007-12-24 23:23]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 14:44]
R1 nnrnstdi;nnrnstdi;C:\WINDOWS\system32\drivers\nnrnstdi.sys [2007-08-28 19:16]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];C:\WINDOWS\system32\drivers\Sleen16.sys [2007-10-11 13:24]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 14:45]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\plcndis5.sys [2003-03-13 12:58]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-12-10 16:45]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2003-01-01 01:00]
R3 km_filter;km_filter;C:\WINDOWS\system32\drivers\km_filter.sys [2007-08-28 19:16]
R3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 10:31]
R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2005-12-01 15:38]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 17:13]
S2 WBUSB;Winbond Generic USB Controller;C:\WINDOWS\system32\Drivers\WBUSB.sys [2003-10-03 21:40]
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys []
S3 jswmidin;jswmidin;C:\DOKUME~1\Bier\LOKALE~1\Temp\jswmidin.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d9e7eab-52c9-11d9-9e07-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ea0518a-23f2-11d7-abf5-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{926d7985-3641-11d9-bcc3-00110979e181}]
\Shell\AutoRun\command - K:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a99bd6a9-3d7f-11d9-bd1c-806d6172696f}]
\Shell\AutoRun\command - hh start.chm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8e05e86-372d-11d9-bcc7-00038a000015}]
\Shell\AutoRun\command - H:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da7eedc0-3d80-11d9-bcc8-00038a000015}]
\Shell\AutoRun\command - L:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f173e39c-4f6f-11d9-ac01-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb5dff51-3e50-11d9-abee-0007caffdc48}]
\Shell\AutoRun\command - L:\OEMBranding.exe

*Newly Created Service* - MCHINJDRV
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-19 14:56:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\SYZ_DAT
C:\WINDOWS\system32\drivers\MFX.sys 45824 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll

PROCESS: C:\WINDOWS\system32\csrss.exe
-> C:\Programme\TuneUp WinStyler\WinStylerThemeHelper.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\ehome\ehRecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\CF31566.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\RBTray\RBTray.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-19 15:05:15 - machine was rebooted [Bier]
ComboFix-quarantined-files.txt 2008-04-19 13:05:10

32 Verzeichnis(se), 13,432,655,872 Bytes frei
.
2008-04-12 12:29:52 --- E O F ---

#15 hallo,

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
mache einen Onlinescan mit F-Secure + poste den Report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit