Mal wieder WinAntiVirus

#1 Liebes Support-Team,

ich habe gesucht und einige Methoden angewandt, um den nervigen Popup von WinAntiVirus loszuwerden, alle diese Methoden konnten bisher nichts aurichten:

ewido Antspyware, ad-aware und spybot im abgesicherten modus laufen lassen
hijackthis -> registry eintrag winantivirus entfernen
freespywarescanner drüberlaufen lassen

Ich bin ziemlich ratlos, daher mal meine Hijackthis- und combofix-logs

Hijackthis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 05:48:37, on 30.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Maxtor\Maxtor Backup\MaxBackServiceInt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\PROGRA~1\FREESP~1\SPYWAT~1.EXE
C:\WINDOWS\explorer.exe
C:\Programme\leechers\leecher.exe
C:\Programme\PSPad editor\PSPad.exe
C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe
C:\Programme\Adobe\Photoshop CS\Photoshop.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
E:\downloads\HijackThis.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ICQ 5.1.lnk = C:\Programme\ICQLite\ICQLite.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MaxBackServiceInt - Unknown owner - C:\Programme\Maxtor\Maxtor Backup\MaxBackServiceInt.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: MaxSyncService (NTService1) - - C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

combofix:

Zitat

Andi - 06-08-30 5:49:44,66
ComboFix 06.08.27BT - Running from: E:\downloads

((((((((((((((((((((((((((((((( Files Created from 2006-07-30 to 2006-08-30 ))))))))))))))))))))))))))))))))))


2006-08-29 23:58 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2006-08-29 23:58 147,456 --a------ C:\WINDOWS\system32\Vbzip11.dll
2006-08-29 23:58 143,360 --a------ C:\WINDOWS\system32\vbuzip10.dll
2006-08-29 23:58 10,752 --a------ C:\WINDOWS\system32\aamd532.dll
2006-08-28 00:52 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2006-08-21 01:02 92,288 --------- C:\WINDOWS\OPERAJPG.DLL
2006-08-21 01:02 21,648 --------- C:\WINDOWS\CTL3DV2.DLL
2006-08-14 03:48 5,120 -ra------ C:\WINDOWS\system32\vnetinst.dll
2006-08-14 03:48 135,168 --a------ C:\WINDOWS\system32\vmnat.exe
2006-08-14 03:48 106,496 --a------ C:\WINDOWS\system32\vmnetdhcp.exe
2006-08-14 03:47 385,024 --a------ C:\WINDOWS\system32\vnetlib.dll
2006-08-12 18:40 94,208 -ra------ C:\WINDOWS\system32\HPZipt12.dll
2006-08-12 18:40 65,795 -ra------ C:\WINDOWS\system32\HPZipm12.exe
2006-08-12 18:40 61,699 -ra------ C:\WINDOWS\system32\HPZinw12.exe
2006-08-12 18:40 57,344 -ra------ C:\WINDOWS\system32\HPZisn12.dll
2006-08-12 18:40 233,528 -ra------ C:\WINDOWS\system32\HPZidr12.dll
2006-08-12 18:40 167,936 -ra------ C:\WINDOWS\system32\HPZipr12.dll
2006-08-12 18:39 81,920 -ra------ C:\WINDOWS\system32\hpovst08.dll
2006-08-12 18:39 561,152 -ra------ C:\WINDOWS\system32\hpotscl.dll
2006-08-12 18:39 237,568 -ra------ C:\WINDOWS\system32\HPZc3212.dll
2006-08-04 11:35 37,888 --a------ C:\WINDOWS\system32\vmnetbridge.dll
2006-08-04 11:32 163,840 --a------ C:\WINDOWS\system32\vmnc.dll
2006-08-03 12:49 5,451,776 -ra------ C:\WINDOWS\system32\V2iDiskLib.dll
2006-07-30 16:10 127,504 --------- C:\WINDOWS\system32\FSVIDICA.DLL
2006-07-30 16:10 127,472 --------- C:\WINDOWS\system32\FSVIDRDP.DLL
2006-07-30 16:09 94,208 --a------ C:\WINDOWS\system32\USafe32.DLL
2006-07-30 16:09 4,117,632 --a------ C:\WINDOWS\system32\RainbowSSD5.39.2.exe
2006-07-30 16:09 32,768 --a------ C:\WINDOWS\system32\FieldExUtil.exe
2006-07-30 16:08 145,920 --a------ C:\WINDOWS\SSCE5232.DLL
2006-07-30 16:07 36,864 --a------ C:\WINDOWS\system32\wa4jfw.dll
2006-07-30 16:06 9,216 --------- C:\WINDOWS\system32\dcmkrnl.dll
2006-07-30 16:06 69,632 --------- C:\WINDOWS\system32\dcmuser.dll
2006-07-30 16:06 57,344 --------- C:\WINDOWS\system32\Zx7Uninstall.dll
2006-07-30 16:06 57,344 --------- C:\WINDOWS\system32\BSUninstall.dll
2006-07-30 16:06 53,248 --------- C:\WINDOWS\system32\bypass_jfwvid.dll
2006-07-30 16:06 49,152 --------- C:\WINDOWS\system32\bypass_pca.dll
2006-07-30 16:06 49,152 --------- C:\WINDOWS\system32\bypass_idd.dll
2006-07-30 16:06 49,152 --------- C:\WINDOWS\system32\bypass_gwm.dll
2006-07-30 16:06 49,152 --------- C:\WINDOWS\system32\bypass_dolntdrv.dll
2006-07-30 16:06 387,584 --a------ C:\WINDOWS\system32\dcmc0d0.dll
2006-07-30 16:06 16,470 --------- C:\WINDOWS\system32\fsbrldspapi.dll
2006-07-30 16:06 125,128 --------- C:\WINDOWS\system32\JAWSVID.DLL


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-30 05:50 599624 ---hs---- C:\WINDOWS\system32\mpqss.ini2
2006-08-30 05:44 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-08-30 04:05 -------- d-------- C:\Programme\Mozilla Firefox 2 Beta 1
2006-08-30 03:45 -------- d-------- C:\Programme\BLEIFUSS.FUN
2006-08-30 03:30 -------- d-------- C:\Programme\leechers
2006-08-30 02:49 -------- d-------- C:\Programme\Free Spyware Scanner
2006-08-30 02:45 -------- d-------- C:\Programme\GTR2Demo
2006-08-29 23:22 -------- d-------- C:\Programme\ewido anti-spyware 4.0
2006-08-28 21:23 -------- d-------- C:\Programme\DAEMON Tools
2006-08-28 18:17 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-28 14:21 858873 ---hs---- C:\WINDOWS\system32\mpqss.bak2
2006-08-28 13:34 -------- d-------- C:\Programme\Aptana
2006-08-28 00:52 -------- d-------- C:\Programme\Windows Media Player
2006-08-27 23:49 -------- d-------- C:\Programme\Opera7
2006-08-27 23:41 -------- d-------- C:\Programme\Internet Explorer
2006-08-27 05:03 -------- d-------- C:\Programme\PSFtp Free
2006-08-26 01:36 -------- d-------- C:\Programme\Lavasoft
2006-08-26 01:36 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Lavasoft
2006-08-23 21:19 -------- d-------- C:\Programme\SOPHTEMP
2006-08-22 17:46 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Adobe
2006-08-21 18:56 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\OpenOffice.org2
2006-08-21 03:22 -------- d-------- C:\Programme\StartupList
2006-08-21 01:02 -------- d-------- C:\Programme\OPERA
2006-08-20 23:09 -------- d-------- C:\Programme\Mozilla ActiveX Control v1.7.12
2006-08-18 22:09 -------- d-------- C:\Programme\Yahoo!
2006-08-18 16:19 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\VMware
2006-08-14 03:36 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-14 03:33 -------- d-------- C:\Programme\VMware
2006-08-14 03:33 -------- d-------- C:\Programme\Gemeinsame Dateien\VMware
2006-08-14 03:33 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-12 19:17 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Hewlett-Packard
2006-08-12 19:03 -------- d-------- C:\Programme\Hewlett-Packard
2006-08-12 19:02 82380 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS
2006-08-12 18:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2006-08-07 03:02 -------- d-------- C:\Programme\Swift Team
2006-08-05 18:17 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Phoenix
2006-08-04 11:35 9600 -ra------ C:\WINDOWS\system32\drivers\vmnetadapter.sys
2006-08-04 11:35 94848 --a------ C:\WINDOWS\system32\drivers\vmx86.sys
2006-08-04 11:35 9216 --a------ C:\WINDOWS\system32\drivers\vmparport.sys
2006-08-04 11:35 23296 --a------ C:\WINDOWS\system32\drivers\vmnetbridge.sys
2006-08-04 11:35 22016 --a------ C:\WINDOWS\system32\drivers\hcmon.sys
2006-08-04 11:35 15616 --a------ C:\WINDOWS\system32\drivers\vmnetuserif.sys
2006-08-04 11:35 10240 -ra------ C:\WINDOWS\system32\drivers\vmnet.sys
2006-08-02 23:02 -------- d--h----- C:\Programme\Zero G Registry
2006-08-02 21:58 -------- d-------- C:\Programme\aicon
2006-08-02 21:58 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\aicon
2006-07-30 17:59 -------- d-------- C:\Programme\Audacity 1.3 Beta
2006-07-30 16:11 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Freedom Scientific
2006-07-30 16:09 -------- d-------- C:\Programme\Rainbow Technologies
2006-07-30 16:09 -------- d-------- C:\Programme\Freedom Scientific
2006-07-30 16:08 -------- d-------- C:\Programme\ssce
2006-07-30 16:07 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-07-30 04:00 -------- d-------- C:\Programme\dim
2006-07-27 13:03 -------- d-------- C:\Programme\Maxtor
2006-07-25 16:49 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Skype
2006-07-19 04:38 -------- d-------- C:\Programme\safe_compress
2006-07-14 19:39 -------- d-------- C:\Programme\LimeWire
2006-07-14 19:39 -------- d-------- C:\Programme\Easy Thumbnails
2006-07-14 19:39 -------- d-------- C:\Programme\DivX
2006-07-14 16:10 -------- d---s---- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Microsoft
2006-07-14 15:21 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\Real
2006-07-14 15:10 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-07-14 15:09 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-07-14 15:07 -------- d-------- C:\Programme\Real
2006-07-13 16:56 -------- d-------- C:\Programme\ICQLite
2006-07-12 17:44 -------- d-------- C:\Programme\Winamp
2006-07-12 02:13 -------- d-------- C:\Programme\tibco
2006-07-11 13:28 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\AdobeUM
2006-07-06 04:04 -------- d-------- C:\Programme\WinRAR
2006-07-02 16:05 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\vlc
2006-07-02 16:04 -------- d-------- C:\Programme\VideoLAN
2006-07-02 13:25 -------- d-------- C:\Programme\SmitfraudFix
2006-07-02 12:44 569396 --------- C:\WINDOWS\system32\ssqpm.dll
2006-07-01 19:07 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-07-01 18:55 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2006-07-01 18:53 96256 --a------ C:\WINDOWS\system32\drivers\sptd8765.sys
2006-07-01 18:53 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-07-01 17:12 39437 --------- C:\WINDOWS\system32\mljjkig.dll
2006-07-01 16:08 -------- d-------- C:\Programme\XnView
2006-07-01 14:20 -------- d-------- C:\Programme\eRightSoft
2006-07-01 13:22 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\XnView
2006-07-01 12:36 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\AVS Video Converter
2006-07-01 12:33 -------- d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2006-06-30 02:15 -------- d-------- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\MCMPEGEnc
2006-06-30 02:14 -------- d-------- C:\Programme\MainConcept
2006-06-15 23:20 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-05-22 18:56 62 --ahs---- C:\Dokumente und Einstellungen\Andi\Anwendungsdaten\desktop.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"Hcontrol"="C:\\WINDOWS\\ATK0100\\Hcontrol.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"MaxtorOneTouch"="C:\\Programme\\Maxtor\\OneTouch\\utils\\Onetouch.exe"
"mxomssmenu"="\"C:\\Programme\\Maxtor\\OneTouch Status\\maxmenumgr.exe\""
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AAVerTV USB 2.0 plus.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AAVerTV USB 2.0 plus.lnk"
"backup"="C:\\WINDOWS\\pss\\AAVerTV USB 2.0 plus.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AVERTV~1.0PL\\QuickTV.exe "
"item"="AAVerTV USB 2.0 plus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader Speed Launch"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hp psc 1000 series.lnk"
"backup"="C:\\WINDOWS\\pss\\hp psc 1000 series.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpohmr08.exe "
"item"="hp psc 1000 series"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe "
"item"="hpoddt01.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\!ewido]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ewido"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjkig
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winoww32


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1155402265.job

Completion time: 30.08.2006 5:51:40.81
ComboFix.txt
ComboFix2.txt
ComboFix3.txt

Wäre super, wenn mir jemand helfen kann, ich werd die Seuche einfach nicht los.

Danke im Voraus

Andi

#2 1.
scanne mit vundofix und poste den scanreport
http://virus-protect.org/artikel/tools/vundofixx.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

also zu 1:
C:\Windows\system32\mljjkig.dll
C:\Windows\system32\ssqpm.dll

^ Diese beiden lassen sich nicht entfernen und sind auch nach neustart immer wieder da.
Ich meine mein AntiVir hat mir zwischenzeitlich eine von diesen Dateien angezeigt, aber immer wieder, auch wenn ich sie entfernt habe ..

C:\Windows\system32\mpqss.ini
C:\Windows\system32\mpqss.bak1
C:\Windows\system32\mpqss.bak2
C:\Windows\system32\mpqss.ini2
C:\Windows\system32\mpqss.tmp

^ Diese konnte erlöschen, tauchen aber sicher auch wieder auf.


zu 2:

gemacht


zu 3:

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 5056-9BDB

Verzeichnis von C:\WINDOWS\system32

28.08.2006 00:52 16.832 amcompat.tlb
28.08.2006 00:52 23.392 nscompat.tlb
26.08.2006 01:30 230 spupdsvc.inf
14.08.2006 10:31 143 mcrh.tmp
14.08.2006 03:49 49.762 perfc007.dat
14.08.2006 03:49 41.536 perfc009.dat
14.08.2006 03:49 314.622 perfh009.dat
14.08.2006 03:49 319.852 perfh007.dat
14.08.2006 03:49 726.560 PerfStringBackup.INI
13.08.2006 22:23 2.206 wpa.dbl
04.08.2006 11:35 5.120 vnetinst.dll
04.08.2006 11:35 37.888 vmnetbridge.dll
04.08.2006 11:35 106.496 vmnetdhcp.exe
04.08.2006 11:35 385.024 vnetlib.dll
04.08.2006 11:35 135.168 vmnat.exe
04.08.2006 11:32 163.840 vmnc.dll
03.08.2006 12:49 5.451.776 V2iDiskLib.dll
31.07.2006 01:52 2.000.000 HJSMEM.DAT
30.07.2006 16:09 218 bbs9fjp.tgz
14.07.2006 15:09 176.167 rmoc3260.dll
14.07.2006 15:08 5.632 pndx5032.dll
14.07.2006 15:08 6.656 pndx5016.dll
14.07.2006 15:08 278.528 pncrt.dll
09.07.2006 13:41 8.192 Thumbs.db
01.07.2006 19:07 98.304 CmdLineExt.dll
01.07.2006 17:12 39.437 mljjkig.dll
01.07.2006 16:20 505.808 FNTCACHE.DAT
15.06.2006 23:20 57.384 avsda.dll
25.05.2006 00:47 3.596.288 qt-dx331.dll
25.05.2006 00:46 53.248 dpuGUI10.dll
25.05.2006 00:46 90.112 dpl100.dll
25.05.2006 00:46 593.920 dpuGUI11.dll
25.05.2006 00:46 200.704 dtu100.dll
25.05.2006 00:46 344.064 dpus11.dll
25.05.2006 00:46 57.344 dpv11.dll
25.05.2006 00:46 294.912 dpu11.dll
25.05.2006 00:46 294.912 dpu10.dll
25.05.2006 00:45 700.416 divxdec.ax
25.05.2006 00:43 536.576 DivXsm.exe
25.05.2006 00:43 4.276 divxsm.tlb
25.05.2006 00:43 10.716 dsm_ja.qm
25.05.2006 00:43 15.331 dsm_de.qm
25.05.2006 00:43 352.401 DivXMedia.ax
25.05.2006 00:43 15.172 dsm_fr.qm
25.05.2006 00:43 1.044.480 libdivx.dll
25.05.2006 00:43 200.704 ssldivx.dll
25.05.2006 00:43 245.408 unicows.dll
25.05.2006 00:42 778.240 divx_xx07.dll
25.05.2006 00:42 778.240 divx_xx0c.dll
25.05.2006 00:42 761.856 divx_xx11.dll
25.05.2006 00:42 619.156 DivX.dll


Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 5056-9BDB


Verzeichnis von C:\DOKUME~1\Andi\LOKALE~1\Temp

30.08.2006 19:33 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}4298.html
30.08.2006 19:33 32.768 ~DFA8E3.tmp
30.08.2006 19:32 512 ~DFBD05.tmp
30.08.2006 19:32 16.384 ~DFBCFD.tmp
30.08.2006 19:32 512 ~DFBCF5.tmp
30.08.2006 19:32 16.384 ~DFBCEA.tmp
30.08.2006 19:32 512 ~DFBCE2.tmp
30.08.2006 19:32 16.384 ~DFBCDA.tmp
30.08.2006 19:32 512 ~DFBCD2.tmp
30.08.2006 19:32 16.384 ~DFBCC9.tmp
30.08.2006 19:32 512 ~DFA717.tmp
30.08.2006 19:32 16.384 ~DFA6BB.tmp
30.08.2006 19:32 512 ~DFA6A6.tmp
30.08.2006 19:32 16.384 ~DFA699.tmp
30.08.2006 19:32 512 ~DFA691.tmp
30.08.2006 19:32 16.384 ~DFA686.tmp
30.08.2006 19:32 512 ~DFA67E.tmp
30.08.2006 19:32 16.384 ~DFA66D.tmp
30.08.2006 19:32 16.384 ~DF408B.tmp
30.08.2006 19:31 512 ~DF2DBD.tmp
30.08.2006 19:31 16.384 ~DF2D71.tmp
30.08.2006 19:24 32.768 ~DF5957.tmp
22 Datei(en) 234.962 Bytes
0 Verzeichnis(se), 3.335.802.880 Bytes frei

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 5056-9BDB

Verzeichnis von C:\WINDOWS

30.08.2006 19:37 402.231 WindowsUpdate.log
30.08.2006 19:30 50 wiaservc.log
30.08.2006 19:30 159 wiadebug.log
30.08.2006 19:29 0 0.log
30.08.2006 19:29 2.048 bootstat.dat
30.08.2006 08:01 763 win.ini
29.08.2006 22:53 2.658.938 ntbtlog.txt
28.08.2006 10:04 227 system.ini
28.08.2006 10:03 94.172 wmsetup.log
28.08.2006 01:16 132.848 setupapi.log
28.08.2006 00:53 378 wmsetup10.log
28.08.2006 00:49 316.640 WMSysPr9.prx
27.08.2006 23:41 3.832 iexplore.ini
26.08.2006 01:35 7.625 iis6.log
26.08.2006 01:35 31.806 comsetup.log
26.08.2006 01:35 18.460 ntdtcsetup.log
26.08.2006 01:35 28.784 tsoc.log
26.08.2006 01:35 4.002 ocmsn.log
26.08.2006 01:35 1.374 imsins.log
26.08.2006 01:35 13.079 ie7beta2Uninst.log
26.08.2006 01:29 16.403 updspapi.log
26.08.2006 01:28 47.245 ocgen.log
26.08.2006 01:28 3.571 msgsocm.log
26.08.2006 01:28 59.664 FaxSetup.log
21.08.2006 01:03 4.246 opera.ini
20.08.2006 23:18 13.298 mozver.dat
20.08.2006 19:00 4.169 SETUP.LST
20.08.2006 19:00 303 ST6UNST.000
17.08.2006 02:49 1.409 QTFont.for
17.08.2006 02:49 54.156 QTFont.qfn
14.08.2006 00:19 5.375 avertv.ini
13.08.2006 22:23 34.519 spupdsvc.log
13.08.2006 22:21 10.781 ie7beta2_main.log
13.08.2006 22:19 1.374 imsins.BAK
13.08.2006 22:19 20.985 ie7beta2.log
13.08.2006 22:15 7.459 KB915865.log
12.08.2006 19:04 20.454 hpoins01.dat
29.07.2006 17:17 2.633.154 dp2_log.txt
28.07.2006 14:19 420 setupact.log
14.07.2006 15:21 25 cdplayer.ini
12.07.2006 02:13 0 vpd.properties
12.07.2006 02:13 2.223 vpd.properties.tibco.aka
12.07.2006 02:13 2.385 TIBCOInstallationHistory.xml
12.07.2006 02:12 69 .TIBCOInstallerInstance
01.07.2006 19:06 68.646 DirectX.log
03.06.2006 21:30 0 setuperr.log
02.06.2006 19:00 40.866 SICALIB2.DAT


Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 5056-9BDB

Verzeichnis von C:\

30.08.2006 19:39 0 sys.txt
30.08.2006 19:38 5.940 system.txt
30.08.2006 19:38 1.361 systemtemp.txt
30.08.2006 19:37 1.913 VundoFix.txt
30.08.2006 19:37 97.861 system32.txt
30.08.2006 19:29 535.875.584 hiberfil.sys
30.08.2006 19:29 805.306.368 pagefile.sys
30.08.2006 05:51 16.109 ComboFix.txt
30.08.2006 03:20 16.062 ComboFix2.txt
30.08.2006 03:10 16.289 ComboFix3.txt
28.08.2006 10:04 211 boot.ini
10.08.2006 06:53 0 Demux_sailor.txt
02.07.2006 13:25 1.704 rapport.txt

Gruß

Andi

#4 Hallo,

bei mir ist die folgende Datei aufgefallen: C:\windows\system32\vtsqq.dll .

Diese DLL war (vermutlich) verantwortlich für das ständige Anzeigen der Werbung von WinAntivirus Pro 2006 im Internet Explorer.

Die Datei wurde mehrfach in die Registry eingetragen (u.a. in den Bereich, der einen Systemjob initiiert). Löschen half nicht, da die vtsqq.DLL offenbar die Registry immer wieder neu schrieb, wenn der Eintrag gelöscht wurde. Somit ließ sich dann auch die DLL nicht löschen.

Meine Virenscanner (F-Prot, Sophos) und auch die Tools Adware SE und HijackThis haben diese DLL nicht gefunden bzw. als gefährlich eingestuft. Der einzige Hinweis auf Malware waren das Datum und die Uhrzeit (ich wurde duch einen blöden Fehler gleichzeitig mit mehreren Trojanern überschüttet) sowie mehrere Einträge in Foren zu dieser DLL.

Das Löschen der Datei im abgesicherten Modus hat nicht funktioniert. Schließlich habe ich die Datei gelöscht, indem ich die Windows XP Recovery CD eingelegt habe und das System im Reparturmodus gestartet habe. DOS-Befehl: del C:\windows\system32\vtsqq.dll . Auf diese Weise sollte sich eigentlich jede Datei löschen lassen - also Vorsicht, es könnte auch was gutartiges Wichtiges sein...

Nach dem ich die Datei gelöscht hatte war endlich Ruhe.

Gruß
Martin

#5 martikx

alle diese Viren kann die malware mit sich bringen,
http://virus-protect.org/artikel/spyware/spywarequake.html
du musst mir also die logs posten, wenn ich dir helfen soll...es sei denn, ich finde nichts mehr
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#6 webEater

avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjkig
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winoww32

Files to delete:
C:\WINDOWS\system32\winoww32.dll
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljjkig.dll
C:\WINDOWS\system32\ssqpm.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
scanne mit panda , wenn es nicht funktioniert, mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hallo sabina,

ok ich hab den avenger laufen lassen, hier der log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\anrvwlnb

*******************

Script file located at: \??\C:\WINDOWS\system32\cmmarjac.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\winoww32.dll not found!
Deletion of file C:\WINDOWS\system32\winoww32.dll failed!

Could not process line:
C:\WINDOWS\system32\winoww32.dll
Status: 0xc0000034

File C:\WINDOWS\system32\amcompat.tlb deleted successfully.
File C:\WINDOWS\system32\nscompat.tlb deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\mljjkig.dll deleted successfully.


File C:\WINDOWS\system32\ssqpm.dll not found!
Deletion of file C:\WINDOWS\system32\ssqpm.dll failed!

Could not process line:
C:\WINDOWS\system32\ssqpm.dll
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjkig not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjkig failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpm not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpm failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winoww32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und scheinbar bin ich jetzt rein, mal sehen wie lange es hält.

Ich dank dir!!

Grüße

Andi

#8 webEater

1.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

2.
scanne bitte mit superantispyware und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit