Malware Downloader.Agent.arh im system 32/wininet.dll gefunden

#1 Ich habe schon wieder ein Problem.
Mein Anti spy Programm hat Malware gefunden und selbst wenn ich es entfernen will kommt immer die Warnung. Auch zwischendurch, wenn ich jetzt z.B. diesen Beitrag schreibe kam sie schon.
Die Malware ist "Downloader.Agent.arh" und soll sich im System32\wininet.dll befinden.Habe diese datei auch schon aus dem windows Ordner gelöscht , doch dann funktionierte irgendwie das ganze Windows System nicht mehr und dann musste ich Windows nochmal auf meinem PC installieren!
Wie kriege ich den mist wieder weg?

Hier mal mein Hijackthis Weiter unten ist der von Combofix)



C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\System32\VTTimer.exe
C:\Programme\Lexmark 4300 Series\lxcemon.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\lxcecoms.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JRG~1\LOKALE~1\Temp\Rar$EX01.953\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DMSBackbone - Unknown owner - C:\ET_BB\BIN\dmsbb.exe" --ntservice (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe







Hier deer scan von Combofix:



Start Time= 10.08.2006 0:14:46,18
Running from: C:\Programme\Mozilla Firefox

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-09 23:12:08 ( .D... ) "C:\Programme\Online-Dienste"
2006-08-09 22:28:32 ( .D... ) "C:\Programme\CleanUp!"
2006-08-09 21:43:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard"
2006-08-08 17:34:26 19560 ( A.... ) "C:\Dokumente und Einstellungen\J”rg\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
2006-08-08 16:30:12 ( .D... ) "C:\Programme\Lavalys"
2006-08-08 04:34:00 ( .D... ) "C:\Dokumente und Einstellungen\J”rg\Anwendungsdaten\Skype"
2006-08-08 04:33:48 ( .D... ) "C:\Programme\Skype"
2006-08-08 03:43:42 ( .D... ) "C:\Programme\BearShare"
2006-08-07 23:37:24 99970 ( A.... ) "C:\WINDOWS\UninstallFirefox.exe"
2006-08-04 17:49:26 ( .D... ) "C:\Programme\BitComet"
2006-08-02 23:18:48 ( .D... ) "C:\Dokumente und Einstellungen\J”rg\Anwendungsdaten\Thunderbird"
2006-08-02 23:18:32 ( .D... ) "C:\Programme\Mozilla Thunderbird"
2006-08-01 03:08:04 ( .D... ) "C:\Programme\Incomplete"
2006-08-01 03:06:56 ( .D... ) "C:\Programme\LimeWire"
2006-07-31 21:02:52 12814336 ( A.... ) "C:\Programme\mp10setup3802.exe"
2006-07-31 20:22:54 ( .D... ) "C:\Programme\concept design"
2006-07-30 21:05:12 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-07-20 23:02:14 5128128 ( A.... ) "C:\Firefox_Setup1.5.0.4dt.exe"
2006-07-20 22:59:02 ( .D... ) "C:\Dokumente und Einstellungen\J”rg\Anwendungsdaten\Talkback"
2006-07-19 16:04:14 ( .D... ) "C:\Programme\CBL Datenrettung GmbH"
2006-07-14 02:36:46 ( .D... ) "C:\Programme\XviD"
2006-07-07 02:23:08 ( .D... ) "C:\Dokumente und Einstellungen\J”rg\Anwendungsdaten\LimeWire"
2006-06-27 18:04:34 ( .D... ) "C:\Programme\Gemeinsame Dateien\xing shared"
2006-06-27 18:04:10 176167 ( A.... ) "C:\WINDOWS\system32\rmoc3260.dll"
2006-06-27 18:04:00 6656 ( A.... ) "C:\WINDOWS\system32\pndx5016.dll"
2006-06-27 18:04:00 5632 ( A.... ) "C:\WINDOWS\system32\pndx5032.dll"
2006-06-27 18:03:58 278528 ( A.... ) "C:\WINDOWS\system32\pncrt.dll"
2006-06-27 18:03:50 ( .D... ) "C:\Programme\Real"
2006-06-20 11:38:42 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-05-25 00:47:12 3596288 ( A.... ) "C:\WINDOWS\system32\qt-dx331.dll"
2006-05-21 16:15:28 966144 ( A.... ) "C:\WINDOWS\system32\NCTAudioInformation2.dll"
2006-05-21 16:15:28 877568 ( A.... ) "C:\WINDOWS\system32\NCTAudioFile2.dll"
2006-05-21 16:15:28 634880 ( A.... ) "C:\WINDOWS\system32\NCTAudioEditor2.dll"
2006-05-21 16:15:28 522752 ( A.... ) "C:\WINDOWS\system32\NCTAudioTransform2.dll"
2006-05-21 16:15:28 467968 ( A.... ) "C:\WINDOWS\system32\NCTAudioRecord2.dll"
2006-05-21 16:15:28 467456 ( A.... ) "C:\WINDOWS\system32\NCTAudioPlayer2.dll"
2006-05-21 16:15:28 307200 ( A.... ) "C:\WINDOWS\system32\msvcr70.dll"
2006-05-21 16:15:28 237568 ( A.... ) "C:\WINDOWS\system32\lame_enc.dll"
2005-10-30 17:24:54 854 ( A.... ) "C:\Programme\Acrobat Reader 5.0.lnk"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-09 23:14 94.208 C:\WINDOWS\system32\odbcint.dll
2006-08-09 23:14 73.728 C:\WINDOWS\system32\dbnetlib.dll
2006-08-09 23:14 73.728 C:\WINDOWS\system32\cliconfg.dll
2006-08-09 23:14 69.632 C:\WINDOWS\system32\odbcconf.exe
2006-08-09 23:14 61.440 C:\WINDOWS\system32\odbccu32.dll
2006-08-09 23:14 61.440 C:\WINDOWS\system32\odbccr32.dll
2006-08-09 23:14 44.032 C:\WINDOWS\system32\msxml3r.dll
2006-08-09 23:14 401.408 C:\WINDOWS\system32\sqlsrv32.dll
2006-08-09 23:14 4.656 C:\WINDOWS\system32\ds16gt.dll
2006-08-09 23:14 36.864 C:\WINDOWS\system32\mscpxl32.dll
2006-08-09 23:14 32.768 C:\WINDOWS\system32\odbcad32.exe
2006-08-09 23:14 28.672 C:\WINDOWS\system32\dbnmpntw.dll
2006-08-09 23:14 28.672 C:\WINDOWS\system32\dbmsgnet.dll
2006-08-09 23:14 26.224 C:\WINDOWS\system32\odbc16gt.dll
2006-08-09 23:14 24.576 C:\WINDOWS\system32\odbcbcp.dll
2006-08-09 23:14 24.576 C:\WINDOWS\system32\dbmsvinn.dll
2006-08-09 23:14 24.576 C:\WINDOWS\system32\dbmsrpcn.dll
2006-08-09 23:14 24.576 C:\WINDOWS\system32\dbmsadsn.dll
2006-08-09 23:14 221.184 C:\WINDOWS\system32\odbc32.dll
2006-08-09 23:14 20.480 C:\WINDOWS\system32\msorc32r.dll
2006-08-09 23:14 20.480 C:\WINDOWS\system32\cliconfg.exe
2006-08-09 23:14 180.800 C:\WINDOWS\system32\sqlunirl.dll
2006-08-09 23:14 16.384 C:\WINDOWS\system32\odbc32gt.dll
2006-08-09 23:14 16.384 C:\WINDOWS\system32\ds32gt.dll
2006-08-09 23:14 147.456 C:\WINDOWS\system32\odbctrac.dll
2006-08-09 23:14 143.360 C:\WINDOWS\system32\msdart.dll
2006-08-09 23:14 139.264 C:\WINDOWS\system32\msorcl32.dll
2006-08-09 23:14 126.976 C:\WINDOWS\system32\odbcconf.dll
2006-08-09 23:14 102.400 C:\WINDOWS\system32\odbccp32.dll
2006-08-09 23:14 1.129.472 C:\WINDOWS\system32\msxml3.dll
2006-08-09 23:09 352.256 C:\WINDOWS\system32\VTGamma2.dll
2006-08-09 23:06 24.661 C:\WINDOWS\system32\spxcoins.dll
2006-08-09 23:06 13.824 C:\WINDOWS\system32\irclass.dll
2006-08-09 21:49 98.816 C:\WINDOWS\system32\dmstyle.dll
2006-08-09 21:49 974.848 C:\WINDOWS\system32\dxdiag.exe
2006-08-09 21:49 80.896 C:\WINDOWS\system32\dpvsetup.exe
2006-08-09 21:49 8.192 C:\WINDOWS\system32\d3d8thk.dll
2006-08-09 21:49 797.184 C:\WINDOWS\system32\d3dim700.dll
2006-08-09 21:49 79.360 C:\WINDOWS\system32\dpwsockx.dll
2006-08-09 21:49 77.824 C:\WINDOWS\system32\dpmodemx.dll
2006-08-09 21:49 76.800 C:\WINDOWS\system32\dmscript.dll
2006-08-09 21:49 733.184 C:\WINDOWS\system32\qedwipes.dll
2006-08-09 21:49 723.968 C:\WINDOWS\system32\dpnet.dll
2006-08-09 21:49 68.096 C:\WINDOWS\system32\dpnhupnp.dll
2006-08-09 21:49 667.648 C:\WINDOWS\system32\dinput8.dll
2006-08-09 21:49 648.704 C:\WINDOWS\system32\dinput.dll
2006-08-09 21:49 64.512 C:\WINDOWS\system32\amstream.dll
2006-08-09 21:49 602.624 C:\WINDOWS\system32\dx7vb.dll
2006-08-09 21:49 590.336 C:\WINDOWS\system32\d3dramp.dll
2006-08-09 21:49 58.368 C:\WINDOWS\system32\dmcompos.dll
2006-08-09 21:49 491.520 C:\WINDOWS\system32\dsdmoprp.dll
2006-08-09 21:49 470.528 C:\WINDOWS\system32\qdvd.dll
2006-08-09 21:49 47.616 C:\WINDOWS\system32\d3dxof.dll
2006-08-09 21:49 467.968 C:\WINDOWS\system32\diactfrm.dll
2006-08-09 21:49 44.032 C:\WINDOWS\system32\dimap.dll
2006-08-09 21:49 436.224 C:\WINDOWS\system32\d3dim.dll
2006-08-09 21:49 4.096 C:\WINDOWS\system32\ksuser.dll
2006-08-09 21:49 381.952 C:\WINDOWS\system32\dsound.dll
2006-08-09 21:49 381.952 C:\WINDOWS\system32\dpvoice.dll
2006-08-09 21:49 350.208 C:\WINDOWS\system32\d3drm.dll
2006-08-09 21:49 34.816 C:\WINDOWS\system32\d3dpmesh.dll
2006-08-09 21:49 34.304 C:\WINDOWS\system32\mciqtz32.dll
2006-08-09 21:49 33.280 C:\WINDOWS\system32\dmloader.dll
2006-08-09 21:49 324.096 C:\WINDOWS\system32\mswebdvd.dll
2006-08-09 21:49 32.768 C:\WINDOWS\system32\dpnhpast.dll
2006-08-09 21:49 316.928 C:\WINDOWS\system32\qdv.dll
2006-08-09 21:49 31.744 C:\WINDOWS\system32\pid.dll
2006-08-09 21:49 3.072 C:\WINDOWS\system32\dpnlobby.dll
2006-08-09 21:49 3.072 C:\WINDOWS\system32\dpnaddr.dll
2006-08-09 21:49 292.864 C:\WINDOWS\system32\ddraw.dll
2006-08-09 21:49 28.160 C:\WINDOWS\system32\dplaysvr.exe
2006-08-09 21:49 27.136 C:\WINDOWS\system32\dmband.dll
2006-08-09 21:49 257.024 C:\WINDOWS\system32\qcap.dll
2006-08-09 21:49 24.064 C:\WINDOWS\system32\ddrawex.dll
2006-08-09 21:49 230.400 C:\WINDOWS\system32\dplayx.dll
2006-08-09 21:49 223.232 C:\WINDOWS\system32\gcdef.dll
2006-08-09 21:49 19.968 C:\WINDOWS\system32\dpvacm.dll
2006-08-09 21:49 186.880 C:\WINDOWS\system32\dsdmo.dll
2006-08-09 21:49 181.248 C:\WINDOWS\system32\dmime.dll
2006-08-09 21:49 18.944 C:\WINDOWS\system32\encapi.dll
2006-08-09 21:49 18.432 C:\WINDOWS\system32\dswave.dll
2006-08-09 21:49 173.056 C:\WINDOWS\system32\qasf.dll
2006-08-09 21:49 16.896 C:\WINDOWS\system32\dpnsvr.exe
2006-08-09 21:49 132.608 C:\WINDOWS\system32\devenum.dll
2006-08-09 21:49 13.312 C:\WINDOWS\system32\msdmo.dll
2006-08-09 21:49 122.880 C:\WINDOWS\system32\dmusic.dll
2006-08-09 21:49 112.128 C:\WINDOWS\system32\dpvvox.dll
2006-08-09 21:49 100.864 C:\WINDOWS\system32\dmsynth.dll
2006-08-09 21:49 1.962.496 C:\WINDOWS\system32\quartz.dll
2006-08-09 21:49 1.798.144 C:\WINDOWS\system32\qedit.dll
2006-08-09 21:49 1.769.472 C:\WINDOWS\system32\dxdiagn.dll
2006-08-09 21:49 1.703.936 C:\WINDOWS\system32\d3d9.dll
2006-08-09 21:49 1.294.336 C:\WINDOWS\system32\dsound3d.dll
2006-08-09 21:49 1.201.152 C:\WINDOWS\system32\d3d8.dll
2006-08-09 21:49 1.189.888 C:\WINDOWS\system32\dx8vb.dll
2006-08-09 20:59 176.128 C:\WINDOWS\system32\mgxoschk.dll
2006-08-09 02:42 225.280 C:\WINDOWS\system32\ReWire.dll
2006-07-31 21:06 20.480 C:\WINDOWS\system32\wmpui.dll
2006-07-31 21:06 20.480 C:\WINDOWS\system32\wmpcore.dll
2006-07-31 21:06 20.480 C:\WINDOWS\system32\wmpcd.dll
2006-07-31 21:05 9.216 C:\WINDOWS\system32\asferror.dll
2006-07-31 21:05 86.016 C:\WINDOWS\system32\wmpshell.dll
2006-07-31 21:05 66.560 C:\WINDOWS\system32\wpdmtpus.dll
2006-07-31 21:05 61.952 C:\WINDOWS\system32\wpdconns.dll
2006-07-31 21:05 486.400 C:\WINDOWS\system32\Audiodev.dll
2006-07-31 21:05 47.104 C:\WINDOWS\system32\uwdf.exe
2006-07-31 21:05 38.912 C:\WINDOWS\system32\wdfmgr.exe
2006-07-31 21:05 364.784 C:\WINDOWS\system32\MSSCP.dll
2006-07-31 21:05 331.776 C:\WINDOWS\system32\wpdmtpdr.dll
2006-07-31 21:05 331.264 C:\WINDOWS\system32\wpdsp.dll
2006-07-31 21:05 33.792 C:\WINDOWS\system32\WMDMPS.dll
2006-07-31 21:05 316.416 C:\WINDOWS\system32\MSWMDM.dll
2006-07-31 21:05 3.407.872 C:\WINDOWS\system32\wmploc.dll
2006-07-31 21:05 282.624 C:\WINDOWS\system32\wmpdxm.dll
2006-07-31 21:05 28.160 C:\WINDOWS\system32\WMDMLOG.dll
2006-07-31 21:05 25.088 C:\WINDOWS\system32\MsPMSNSv.dll
2006-07-31 21:05 228.352 C:\WINDOWS\system32\wmerror.dll
2006-07-31 21:05 175.104 C:\WINDOWS\system32\wmpsrcwp.dll
2006-07-31 21:05 173.568 C:\WINDOWS\system32\MsPMSP.dll
2006-07-31 21:05 164.864 C:\WINDOWS\system32\cewmdm.dll
2006-07-31 21:05 15.872 C:\WINDOWS\system32\wdfapi.dll
2006-07-31 21:05 135.168 C:\WINDOWS\system32\wmpasf.dll
2006-07-31 21:05 114.176 C:\WINDOWS\system32\wpdmtp.dll
2006-07-31 21:05 1.594.880 C:\WINDOWS\system32\wmpencen.dll
2006-07-31 21:04 96.768 C:\WINDOWS\system32\logagent.exe
2006-07-31 21:04 940.544 C:\WINDOWS\system32\wmspdmoe.dll
2006-07-31 21:04 895.736 C:\WINDOWS\system32\wmvdmod.dll
2006-07-31 21:04 774.904 C:\WINDOWS\system32\wmsdmod.dll
2006-07-31 21:04 716.288 C:\WINDOWS\system32\wmadmoe.dll
2006-07-31 21:04 6.656 C:\WINDOWS\system32\laprxy.dll
2006-07-31 21:04 413.944 C:\WINDOWS\system32\wmspdmod.dll
2006-07-31 21:04 396.528 C:\WINDOWS\system32\wmadmod.dll
2006-07-31 21:04 335.872 C:\WINDOWS\system32\WMDRMdev.dll
2006-07-31 21:04 290.816 C:\WINDOWS\system32\WMDRMNet.dll
2006-07-31 21:04 224.768 C:\WINDOWS\system32\wmasf.dll
2006-07-31 21:04 2.370.296 C:\WINDOWS\system32\wmvcore.dll
2006-07-31 21:04 150.016 C:\WINDOWS\system32\wmidx.dll
2006-07-31 21:04 1.512.448 C:\WINDOWS\system32\WMVADVE.DLL
2006-07-31 21:04 1.218.808 C:\WINDOWS\system32\wmvadvd.dll
2006-07-31 21:04 1.119.744 C:\WINDOWS\system32\wmsdmoe2.dll
2006-07-31 21:04 1.027.072 C:\WINDOWS\system32\wmnetmgr.dll
2006-07-31 21:04 1.003.008 C:\WINDOWS\system32\wmvdmoe2.dll
2006-07-28 04:37 86.016 C:\WINDOWS\unvise32qt.exe
2006-07-27 01:02 966.144 C:\WINDOWS\system32\NCTAudioInformation2.dll
2006-07-27 01:02 877.568 C:\WINDOWS\system32\NCTAudioFile2.dll
2006-07-27 01:02 634.880 C:\WINDOWS\system32\NCTAudioEditor2.dll
2006-07-27 01:02 522.752 C:\WINDOWS\system32\NCTAudioTransform2.dll
2006-07-27 01:02 467.968 C:\WINDOWS\system32\NCTAudioRecord2.dll
2006-07-27 01:02 467.456 C:\WINDOWS\system32\NCTAudioPlayer2.dll
2006-07-27 01:02 307.200 C:\WINDOWS\system32\msvcr70.dll
2006-07-27 01:02 237.568 C:\WINDOWS\system32\lame_enc.dll
2006-07-20 23:01 5.128.128 C:\Firefox_Setup1.5.0.4dt.exe
2006-07-14 02:36 761.856 C:\WINDOWS\system32\xvidcore.dll
2006-07-14 02:36 180.224 C:\WINDOWS\system32\xvidvfw.dll
2006-06-27 18:04 176.167 C:\WINDOWS\system32\rmoc3260.dll
2006-06-27 18:03 6.656 C:\WINDOWS\system32\pndx5016.dll
2006-06-27 18:03 5.632 C:\WINDOWS\system32\pndx5032.dll
2006-06-27 18:03 278.528 C:\WINDOWS\system32\pncrt.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Outpost Firewall"="\"C:\\Programme\\Agnitum\\Outpost Firewall 1.0\\outpost.exe\" /waitservice"
"VTTrayp"="VTtrayp.exe"
"VTTimer"="VTTimer.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"LXCECATS"="rundll32 C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\LXCEtime.dll,_RunDLLEntry@16"
"lxcemon.exe"="\"C:\\Programme\\Lexmark 4300 Series\\lxcemon.exe\""
"EzPrint"="\"C:\\Programme\\Lexmark 4300 Series\\ezprint.exe\""
"FaxCenterServer"="\"C:\\Programme\\Lexmark Fax Solutions\\fm3032.exe\" /s"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder

Completion time: 10.08.2006 0:14:53,98
ComboFix ver 06.07.15/29 - This logfile is located at C:\ComboFix.txt

#2 die wininet.dll darf man nicht loeschen............

scanne und poste (unbedingt) den scanreport
http://virus-protect.org/artikel/tools/smitrem.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Wenn ich das Programm öffne, dann soll ich, den Anweisungen nach auf smitRem.exe doppelklicken. Ich habe aberim dem Fenster von diesem Programm nur folgende Files stehen:
smitRem/delfiles.cmd
smitRem/e Trust Antivirus Web Scanner.url
smitRem/getsts.exe
smitRem/process.exe
smitRem/pv.exe
smitRem/replace.cmd
smitRem/replaceE7.exe
smitRem/RunThis.bat
smitRemswreg.exe

Oben im Eingabefenster "Extract to" steht C:\programme\Mozilla Firefox

Unten steht: Existing files mit häkchen an confirm overwrite

habe auf start geklickt und dann kam 2 vierenwarnungen von Antivir. "SPR/Doubious.Handle.1" Zugriff "Verweigert" geklickt.

Soll ich bei diesem Programm auf überschreiben klicken? habe bis jetzt immer auf NO geklickt

Wie kriege ich denn das log von dem Programm?



Edit:
habe wohl ausversehen wininet.dll vom system gelöscht
Wie kriege ich die datei wieder in Windows?
Manchmal kommt auch eine Warnung in einem Fenster mit grauem Hintergrund und der message das ich einen error im system habe und auf die seite "registryrepairxp.com" gehen soll. was ist das für eine seite?
Außerdem steht beim Start die Fehlermeldung: "der Prozedurzeitpunkt SHRegGetValueW wurde in der Dll"SHLWAPI.dll" nicht gefunden. Desshalb konnte "Jusched"& ICQ Lite bei mir nicht ausgeführt werden.

Ps: die Vierenwarnungen kamen noch ein paar mal. habe sie 3 mal in Quarantäne von Antivir verschoben. Die waren in den Ordnern:
C:\smitRem\process.exe
C:\dokumente und einstellungen\Name\Desktop\smitRem\process.exe
C:\dokumente und Einstellungen\Name\EigeneDateien\smitRem\process.exe






Ja, ich weiß, ich hab viele probleme, und das, gerade als ich am Wochenende das SP2 draufpacken wollte

#4 wenn smitrem funktionieren soll, darfst du das Proggie natuerlich nicht vom Antivirus loeschen lassen

klicken muss du dann auf: smitRem/RunThis.bat

wenn der scann beendet ist, findest du im Ordner von smitrem auch eine txt-Datei, deren Inhalt poste hier.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Als Textdokument habe ich in dem Ordner smitrem nur diese getsts Textdadei gefunden:


(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

(HKLM) {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader => %SystemRoot%\System32\browseui.dll

(HKLM) {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon => %SystemRoot%\System32\browseui.dll



Wenn ich den scan mache kommt bei der datei process.exe immer die Vierenwarnung SPR/DoubiousHandle.1



edit:
nachdem ich mal die systemwiederherstellung unter Arbeitsplatz deaktiviert habe, ist der "Downloader.Agent.alr nicht mehr zu finden. Zumindest nicht mit dem ewido scanner.
Ich weiß nicht ob das normal ist, aber in dem Ordner C:\Programme lassen sich die ordnersymbole beliebig verschieben. Ohne festen raster.

Kann ich vielleicht die gelöschten dateien [/b]"SHLWAPI.dll", WinInet und SmitRem" mit Windows reparieren wiederherstellen?

#6 smitrem und smitfraudfix werden vom Virenscanner als "dubioses" Programm erkannt, das haben wir ja schon besprochen....

nun lade+ wende an (+ poste den Report von Option 1 und 2)
http://virus-protect.org/artikel/tools/smitfrautfix.html

wenn das auch nichts hilft, mache eine Reparaturinstallation von Windows
__________
MfG Sabina

rund um die PC-Sicherheit

#7 In dem Fenster von smitfraudfix steht: process.exe file missing!
Beim Zip entpacken kamen diese Viren die ich mit antivir in Quarantäne verschoben habe:
SPR/ToolHardoff.A
SPR/ToolReboot.CX
SPR/DoubiousHandle.1

#8 dann sage dem Antivirus, dass er die exe akzeptieren soll, was machen wir hier eigentlich ? Ich sage dir schon zum dritten mal, dass Antivirus die exe reklamiert, (nicht als Viren, du musst genau lesen.......) und dass man es aber uebergehen muss, wenn man das Proggie anwenden will
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Sorry, aber ich weiß nicht wie ich das machen soll, das antivir die exe akzeptiert. Meinst du bei der Virenwarnung auf erlauben(Ignorieren) anstatt auf Quarantäne klicken?
Werd wohl Windows mal komplett runterwerfen (Urzustand des PC´s) und Windows xp ganz neu draufspielen.
Hast du evtl nen Link wie ich WindowsXP komplett vom Rechner kriege und dann wieder neu draufspiele?
Kann ich vorher Sicherungscopien auf CD Brennen, oder sind die Dateien schon alle Infiziert?

#10

Zitat

Virenwarnung auf erlauben(Ignorieren) anstatt auf Quarantäne klicken?

genau

-----------------------------

Formatieren + danach
http://virus-protect.org/nachneuinst.html

deine persoenlichen Daten kannst du sichern.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Habe die Virenwarnungen Ignoriert. Waren ca. 5 stück! Die kamen als ich den smitfraudfix ordner, den ich auf dem Desctop habe, geöffnet habe. Wollte dann Smitfaudfix anwenden, aber wieder das gleiche spiel: process.exe nicht gefunden.

PS: Wenn ich jetzt mit smitrem scanne, kommt keine Virenwarnung mehr.

Edit:

Glaube jetzt hab ich nen report von smitfraudfix hingekriegt:


SmitFraudFix v2.81

Scan done at 20:57:49,76, 10.08.2006
Run from C:\Dokumente und Einstellungen\J”rg\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\J”rg\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\JRG~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#12 die wininet.dll wird nicht reklamiert, sie scheint also o.k. zu sein..........
Ausser einem Haufen P2P-Software , finde ich nichts "boeses" auf deinem Rechner, du hast ja auch Windows neu installiert, oder ?
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Ja, hab ich im laufe des tages mal gemacht (neuinstall)
Aber die vierenwarnung kommt immer noch.
Außerdem Funktionieren einige Programme (z:B. ICQ) nicht mehr.
Es kommt immer die warnung "der Prozedureinsprungszeitpuznkt SHRegGetValueW wurde in der Dll SHWAPI.dll nicht gefunden.

Auch wenn ich im Internet Webseiten aufmache kommt dierse Warnung, bzw.Hinweis.

Bin drauf und dran das ganze Betriebssystem komplet zu löschen und ganz neu drauf zu spielen!

Bin drauf und dran das ganze Betriebssystem komplet zu löschen und ganz neu drauf zu spielen!

Wollte meine Bilder (JPG) und Musik(.mp3) und .txt Dateien als DAten CD brennen. Kann ich die Dateien, wenn ich die neuinstallation gemacht habe bedenkenlos wieder draufspielen?




Logfile of HijackThis v1.99.1
Scan saved at 22:20:16, on 10.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\System32\VTTimer.exe
C:\Programme\Lexmark 4300 Series\lxcemon.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\lxcecoms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JRG~1\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DMSBackbone - Unknown owner - C:\ET_BB\BIN\dmsbb.exe" --ntservice (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

#14

Zitat

Formatieren + danach
http://virus-protect.org/nachneuinst.html

deine persoenlichen Daten kannst du sichern.

dann berichte, wie es gelaufen ist .
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ja, mach ich am WE wenn mein Bruder dabei ist. Vielleicht bin ich zu doof dafür

Versuche den PC so hinzukriegen das er Jungfreulich wie am ersten Tag ist!!
Dann WindowsXP neu Installieren und Programme Wie Antivir , Firewall xp antispy vor dem Internetzugang auch sofort drauf.
Firewall kann man aber evtl. nur online konfigurieren?!