MSN "du bist auf dem Bild"geöffnet

#1 Hey oder guten Abend!

Habe das "Bild" natürlich geöffnet und den Rest könnt ihr euch ja denken.. :-(
Sitze jetzt schon seit 4 Stunden an meinem Laptop und am Pc von meinem Vater.
Erstmal muss ich mich entschuldigen, dass ich nen neuen Thread aufmach, hab von "wuschuchopf" schon ein bisschen gelernt und hier gerade mal das "how-to-post" durchgelesen. Habe aber die Tipps getestet und bei mir haben die nich so richtig hingehauen... (hat z.b. bei Avenger nix gefunden (hab das "skript" aus dem wuschuchopf-Thread genommen)



hier mal meine Log-daten:

Logfile of HijackThis v1.99.1
Scan saved at 00:48:44, on 12.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\BenQ\QMusic2\QMAgent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\BenQ\Q-MediaBar\QBar.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Program Files\rlxdpceg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\windows\system32\stonedrv.exe
C:\WINDOWS\system32\RaConfig2500.exe
C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\alarm\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QMusic2] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\expert\Desktop\Xinstall.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\rlxdpceg.exe
O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: RaConfig2500.lnk = C:\WINDOWS\system32\RaConfig2500.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://141.39.245.118/activex/AxisCamControl.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: jadapter - C:\WINDOWS\SYSTEM32\jadapter.dll
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe

____________________________________

dann Combofix:


expert - 06-09-12 0:40:36,03
ComboFix 06.09.11B - Running from: C:\alarm

Microsoft Windows XP [Version 5.1.2600]

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\expert\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\taskmgn.exe
C:\secure32.html
C:\winstall.exe
C:\Programme\ToolBar888
C:\Programme\Gemeinsame Dateien\{D4B20D4E-070C-1031-0812-050906040031}


((((((((((((((((((((((((((((((( Files Created from 2006-08-12 to 2006-09-12 ))))))))))))))))))))))))))))))))))


2006-09-11 22:41 15,104 --a------ C:\WINDOWS\system32\stonedrv.exe
2006-09-11 22:41 1,393 --a------ C:\xfaj.exe
2006-09-11 22:41 1,232 --a------ C:\WINDOWS\system32\TheMatrixHasYou.exe
2006-09-11 22:41 1,024 --a------ C:\qcksmx.exe
2006-09-11 22:41 1,024 --a------ C:\lmherqh.exe
2006-09-11 22:39 8,711 --a------ C:\WINDOWS\system32\loadadv455.exe
2006-09-11 22:39 32,768 --a------ C:\bftm.exe
2006-09-11 22:39 26,414 --a------ C:\syknfygp.exe
2006-09-11 22:34 63,488 --a------ C:\WINDOWS\system32\Xinstall.exe
2006-09-11 22:34 16,384 --a------ C:\WINDOWS\system32\sprdu.exe
2006-09-11 22:34 138,862 --a------ C:\WINDOWS\system32\alfa.exe
2006-09-08 12:11 153,088 --a------ C:\WINDOWS\UNWISE.EXE


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[COLOR=RED]Rootkit driver pe386 is present. A rootkit scan is required[/COLOR]

2006-08-24 21:25 737280 --a------ C:\WINDOWS\iun6002.exe
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-25 12:49 9088 --a------ C:\Dokumente und Einstellungen\expert\Anwendungsdaten\wklnhst.dat
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"stonedrv"="c:\\windows\\system32\\stonedrv.exe"
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTrayp"="VTtrayp.exe"
"VTTimer"="VTTimer.exe"
"SoundMan"="SOUNDMAN.EXE"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QMusic2"="C:\\Programme\\BenQ\\QMusic2\\QMAgent.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"Ulead AutoDetector"="C:\\Programme\\Ulead Systems\\Ulead Photo Explorer 8.0 SE Basic\\Monitor.exe"
"Q-MediaBar"="C:\\Programme\\BenQ\\Q-MediaBar\\QBar.exe /stop"
"pccguide.exe"="\"C:\\Programme\\Trend Micro\\Internet Security\\pccguide.exe\""
"PCClient.exe"="\"C:\\Programme\\Trend Micro\\Internet Security\\PCClient.exe\""
"TM Outbreak Agent"="\"C:\\Programme\\Trend Micro\\Internet Security\\TMOAgent.exe\" /run"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"explorer"="C:\\Dokumente und Einstellungen\\expert\\Desktop\\Xinstall.exe"
"SysTray"="C:\\Program Files\\rlxdpceg.exe"
"stonedrv"="c:\\windows\\system32\\stonedrv.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"stonedrv"="c:\\windows\\system32\\stonedrv.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,c4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"Wallpaper"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jadapter

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 12.09.2006 0:41:02.35
ComboFix.txt

_____________________________________________


und hier dieses datfindbat:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4B2-0D4E

Verzeichnis von C:\WINDOWS\system32

12.09.2006 00:49 0 ksl48.bin
11.09.2006 22:41 1.232 TheMatrixHasYou.exe
11.09.2006 22:41 0 inistone.ini
11.09.2006 22:41 15.104 stonedrv.exe
11.09.2006 22:39 63.488 Xinstall.exe
11.09.2006 22:39 8.711 loadadv455.exe
11.09.2006 22:39 138.862 alfa.exe
11.09.2006 22:39 16.384 sprdu.exe
09.08.2006 12:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 17:49 313.280 perfh009.dat
13.07.2006 17:49 40.998 perfc009.dat
13.07.2006 17:49 318.680 perfh007.dat
13.07.2006 17:49 49.424 perfc007.dat
13.07.2006 17:49 728.266 PerfStringBackup.INI
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 12:47 181.248 rasmans.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4B2-0D4E

Verzeichnis von C:\DOKUME~1\expert\LOKALE~1\Temp

12.09.2006 00:41 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31857.html
12.09.2006 00:26 16.384 ~DF1143.tmp
12.09.2006 00:26 512 ~DF53FC.tmp
12.09.2006 00:26 16.384 ~DF539D.tmp
4 Datei(en) 34.258 Bytes
0 Verzeichnis(se), 28.605.022.208 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4B2-0D4E

Verzeichnis von C:\WINDOWS

12.09.2006 00:40 1.409 QTFont.for
12.09.2006 00:40 54.156 QTFont.qfn
12.09.2006 00:26 0 0.log
12.09.2006 00:26 3.834 ModemLog_Agere Systems AC'97 Modem.txt
12.09.2006 00:25 2.048 bootstat.dat
12.09.2006 00:25 32.626 SchedLgU.Txt
12.09.2006 00:24 1.555.668 WindowsUpdate.log
11.09.2006 23:43 1.028.044 setupapi.log
11.09.2006 22:39 105 TMFilter.log
11.09.2006 15:28 529 win.ini
08.09.2006 12:11 23.708 PSSDash8.LOG
08.09.2006 12:11 29 UNWISE.INI
07.09.2006 17:34 116 NeroDigital.ini
04.09.2006 19:41 68.821 wmsetup.log
30.08.2006 14:36 50 wiaservc.log
30.08.2006 14:36 216 wiadebug.log
30.08.2006 14:16 71 Pex.INI
26.08.2006 14:00 134 EWPRO.CFG
25.08.2006 14:09 72 QFP.ini
24.08.2006 21:27 2.048 lvld67.lic
24.08.2006 21:27 87.207 763v2 Version 100 Log.txt
24.08.2006 21:25 737.280 iun6002.exe
20.08.2006 20:33 364 LEXSTAT.INI
13.08.2006 22:35 15.518 KB920214.log
13.08.2006 22:35 23.658 ocmsn.log
13.08.2006 22:35 21.524 msgsocm.log
13.08.2006 22:35 167.380 tsoc.log
13.08.2006 22:35 90.771 ntdtcsetup.log
13.08.2006 22:35 151.041 comsetup.log
13.08.2006 22:35 215.600 ocgen.log
13.08.2006 22:35 66.366 iis6.log
13.08.2006 22:35 438.762 FaxSetup.log
13.08.2006 22:35 1.374 imsins.log
13.08.2006 22:35 1.374 imsins.BAK
13.08.2006 22:35 15.514 KB922616.log
13.08.2006 22:35 15.910 KB921398.log
13.08.2006 22:35 23.982 updspapi.log
13.08.2006 22:35 19.216 KB918899.log
13.08.2006 22:35 11.891 KB920670.log
13.08.2006 22:35 12.057 KB917422.log
13.08.2006 22:35 12.301 KB920683.log
09.08.2006 11:07 11.102 KB921883.log
14.07.2006 10:10 15.670 KB917159.log
13.07.2006 15:37 15.031 KB914388.log
13.07.2006 15:37 13.300 KB916595.log




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4B2-0D4E

Verzeichnis von C:\

12.09.2006 00:51 0 sys.txt
12.09.2006 00:51 9.019 system.txt
12.09.2006 00:50 489 systemtemp.txt
12.09.2006 00:49 92.663 system32.txt
12.09.2006 00:41 7.026 ComboFix.txt
12.09.2006 00:25 469.291.008 hiberfil.sys
12.09.2006 00:25 704.643.072 pagefile.sys
11.09.2006 23:54 398 avenger.txt
11.09.2006 22:41 1.393 xfaj.exe
11.09.2006 22:41 1.024 lmherqh.exe
11.09.2006 22:41 1.024 qcksmx.exe
11.09.2006 22:40 26.414 syknfygp.exe
11.09.2006 22:39 32.768 bftm.exe
11.09.2006 22:39 0 uniq
08.09.2006 12:14 1.328 FSUIPC_reg.bin
25.12.2005 04:51 0 MSDOS.SYS



so - also und nun die Problembeschreibung:

wie schon in dem thread von "wuschuchopf" habe ich auf dem desktop auch programme wie sprdu.exe, alfa.exe oder xinstall.exe...

auch auf C:\ sind bftm.exe qcksmx.exe syknfygp.exe usw.. scheinen willkührliche Namen zu sein... ??!!
mein Inetexplorer quittiert den Dienst genauso wie mein MSN-messi...

ich hoffe ihr könnt mir helfen und seit nicht böse das vielleicht bei diesem Posting nich alles passt... mach das so zum ersten mal und habe mich an die gegebenen vorgaben hoffentlich gut gehalten..

Bitte helft mir da ein bisschen!!

tausend dank schonmal im vorraus!!

schön´Abend noch und gute n8 ;-)

gruß
Manuel

#2 Manuel737

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\jadapter.dll

poste den report

------------------------------------------------------------------------
2.
poste das log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "sheriff.reg" auf dem Desktop doppelklicken.

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\SpySheriff]

[-HKEY_CURRENT_USER\Software\SNO2]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpySheriff]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\ksl48.bin
C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\WINDOWS\system32\inistone.ini
C:\WINDOWS\system32\stonedrv.exe
C:\WINDOWS\system32\Xinstall.exe
C:\WINDOWS\system32\loadadv455.exe
C:\WINDOWS\system32\alfa.exe
C:\WINDOWS\system32\sprdu.exe
C:\WINDOWS\Downloaded Program Files\speedtest2.dll
C:\Dokumente und Einstellungen\expert\Desktop\Xinstall.exe
C:\Dokumente und Einstellungen\expert\Xinstall.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\xfaj.exe
C:\lmherqh.exe
C:\qcksmx.exe
C:\syknfygp.exe
C:\bftm.exe
C:\uniq
C:\Program Files\rlxdpceg.exe

Folders to delete:
C:\Program Files\SpySheriff

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\expert\Desktop\Xinstall.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\rlxdpceg.exe
O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html

**
poste das neue Log vom HijackThis


«
__________
MfG Sabina

rund um die PC-Sicherheit

#3 soooo - also jetzt hab ich alles ausprobiert:
Habe mir nach nem Rat von meinem Kumpel auch heute Norton noch installiert und den mal drüberlaufen lassen... der hat diesen Spysheriff gelöscht und nochwas...
Auch mit Antivir hab ich rumgespielt aber der hat ständig wegen jadapter.dll gemeckert. Aber ich schätze mal der ist jetzt weg?!

Ewito geht leider nicht! nach etwa der hälfte des scanns bekomm ich nen Bluescreen und mein lap startet neu :-(

Auch komme ich mit mit dem IE nicht mehr in dieses Forum (auf andere seiten schon) - bin jetzt am PC von meinem Dad und hab die Logs aufm speicherstick

hier sind sie:

virustotal:

1. Virustotal

Antivirus Version Update Result
AntiVir 7.1.1.16 09.12.2006 BDS/Haxdoor.GJ.1
Authentium 4.93.8 09.12.2006 no virus found
Avast 4.7.844.0 09.11.2006 no virus found
AVG 386 09.11.2006 no virus found
BitDefender 7.2 09.12.2006 Generic.Malware.SFYVdlwdld.AC4D9031
CAT-QuickHeal 8.00 09.12.2006 no virus found
ClamAV devel-20060426 09.12.2006 no virus found
DrWeb 4.33 09.12.2006 no virus found
eTrust-InoculateIT 23.72.122 09.12.2006 no virus found
eTrust-Vet 30.3.3073 09.12.2006 Win32/Starimp!generic
Ewido 4.0 09.12.2006 no virus found
Fortinet 2.77.0.0 09.11.2006 suspicious
F-Prot 3.16f 09.12.2006 no virus found
F-Prot4 4.2.1.29 09.12.2006 no virus found
Ikarus 0.2.65.0 09.11.2006 Trojan-PSW.Win32.Agent.hk
Kaspersky 4.0.2.24 09.12.2006 no virus found
McAfee 4849 09.11.2006 no virus found
Microsoft 1.1560 09.12.2006 no virus found
NOD32v2 1.1751 09.12.2006 a variant of Win32/Spy.Goldun.GU
Norman 5.90.23 09.12.2006 no virus found
Panda 9.0.0.4 09.11.2006 Suspicious file
Sophos 4.09.0 09.12.2006 no virus found
Symantec 8.0 09.12.2006 no virus found
TheHacker 5.9.8.209 09.11.2006 no virus found
UNA 1.83 09.11.2006 no virus found
VBA32 3.11.1 09.12.2006 suspected of Malware.Agent.41
VirusBuster 4.3.7:9 09.11.2006 no virus found

Aditional Information
File size: 20700 bytes
MD5: a8f902b1be5f1b86c6bdc01fbc1c56e0
SHA1: fd30a3cc942b36ddac9ed3e166889d4b790f1602
packers: UPX



hier dieser FSB log aus Blacklight:


09/12/06 15:25:08 [Info]: BlackLight Engine 1.0.46 initialized
09/12/06 15:25:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/12/06 15:25:09 [Note]: 7019 4
09/12/06 15:25:09 [Note]: 7005 0
09/12/06 15:25:17 [Note]: 7006 0
09/12/06 15:25:17 [Note]: 7011 144
09/12/06 15:25:17 [Note]: 7026 0
09/12/06 15:25:17 [Note]: 7026 0
09/12/06 15:25:25 [Note]: FSRAW library version 1.7.1019
09/12/06 15:25:35 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\JADAPTER.DLL
09/12/06 15:25:36 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\IADAPTER.SYS
09/12/06 15:26:02 [Note]: 7007 0


______________________

blacklight

09/12/06 15:25:08 [Info]: BlackLight Engine 1.0.46 initialized
09/12/06 15:25:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/12/06 15:25:09 [Note]: 7019 4
09/12/06 15:25:09 [Note]: 7005 0
09/12/06 15:25:17 [Note]: 7006 0
09/12/06 15:25:17 [Note]: 7011 144
09/12/06 15:25:17 [Note]: 7026 0
09/12/06 15:25:17 [Note]: 7026 0
09/12/06 15:25:25 [Note]: FSRAW library version 1.7.1019
09/12/06 15:25:35 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\JADAPTER.DLL
09/12/06 15:25:36 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\IADAPTER.SYS
09/12/06 15:26:02 [Note]: 7007 0



________________________


Avenger


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vljxtllu

*******************

Script file located at: \??\C:\WINDOWS\ljxsvmgr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ksl48.bin deleted successfully.


File C:\WINDOWS\system32\TheMatrixHasYou.exe not found!
Deletion of file C:\WINDOWS\system32\TheMatrixHasYou.exe failed!

Could not process line:
C:\WINDOWS\system32\TheMatrixHasYou.exe
Status: 0xc0000034

File C:\WINDOWS\system32\inistone.ini deleted successfully.


File C:\WINDOWS\system32\stonedrv.exe not found!
Deletion of file C:\WINDOWS\system32\stonedrv.exe failed!

Could not process line:
C:\WINDOWS\system32\stonedrv.exe
Status: 0xc0000034



File C:\WINDOWS\system32\Xinstall.exe not found!
Deletion of file C:\WINDOWS\system32\Xinstall.exe failed!

Could not process line:
C:\WINDOWS\system32\Xinstall.exe
Status: 0xc0000034



File C:\WINDOWS\system32\loadadv455.exe not found!
Deletion of file C:\WINDOWS\system32\loadadv455.exe failed!

Could not process line:
C:\WINDOWS\system32\loadadv455.exe
Status: 0xc0000034



File C:\WINDOWS\system32\alfa.exe not found!
Deletion of file C:\WINDOWS\system32\alfa.exe failed!

Could not process line:
C:\WINDOWS\system32\alfa.exe
Status: 0xc0000034

File C:\WINDOWS\system32\sprdu.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\speedtest2.dll deleted successfully.


File C:\Dokumente und Einstellungen\expert\Desktop\Xinstall.exe not found!
Deletion of file C:\Dokumente und Einstellungen\expert\Desktop\Xinstall.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\expert\Desktop\Xinstall.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\expert\Xinstall.exe not found!
Deletion of file C:\Dokumente und Einstellungen\expert\Xinstall.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\expert\Xinstall.exe
Status: 0xc0000034

File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe deleted successfully.


File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
Status: 0xc0000034



File C:\xfaj.exe not found!
Deletion of file C:\xfaj.exe failed!

Could not process line:
C:\xfaj.exe
Status: 0xc0000034

File C:\lmherqh.exe deleted successfully.
File C:\qcksmx.exe deleted successfully.
File C:\syknfygp.exe deleted successfully.


File C:\bftm.exe not found!
Deletion of file C:\bftm.exe failed!

Could not process line:
C:\bftm.exe
Status: 0xc0000034

File C:\uniq deleted successfully.


File C:\Program Files\rlxdpceg.exe not found!
Deletion of file C:\Program Files\rlxdpceg.exe failed!

Could not process line:
C:\Program Files\rlxdpceg.exe
Status: 0xc0000034



Folder C:\Program Files\SpySheriff not found!
Deletion of folder C:\Program Files\SpySheriff failed!

Could not process line:
C:\Program Files\SpySheriff
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
______________________



und dann hab ich nochmal ein hijackthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:05:08, on 12.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\BenQ\QMusic2\QMAgent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\BenQ\Q-MediaBar\QBar.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RaConfig2500.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\alarm\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.benq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QMusic2] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: RaConfig2500.lnk = C:\WINDOWS\system32\RaConfig2500.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://141.39.245.118/activex/AxisCamControl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: jadapter - C:\WINDOWS\SYSTEM32\jadapter.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe





____________________


wie gesagt, ewito schmiert bei mir nach über der Hälfte ab :-(

auch wenn ich mozilla firefox starten möchte - bluescreen und neustart..


also das erstmal soweit!

Danke nochmal :-)

achja: das sprdu.exe ist immernoch auf meinem desktop - obwohl ja bei dem Avenger steht es sei gelöscht worden ?!


Edit: teil vom avengerlog vergessen

#4 du solltest formatieren, auch wenn man den Rootkit vom Goldrun-Haxdoor loeschen kann, der PC ist kompromitiert und nicht mehr sicher
da sind 4 oder 5 verschiedene Verseuchungen...es ist sinnlos, formatiere und komme zurueck mit einem neuen log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Aloah,
hab auch den Virus auf dem Laptop.
Vielleicht kann man mir weiterhelfen.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:37, on 01.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acer\eRecovery\Monitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Styler\Styler.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\winudpmgr.exe
C:\WINDOWS\system32\sistray.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Vista Sidebar] C:\Programme\Vista Sidebar\sidebar.exe
O4 - HKLM\..\Run: [Styler] C:\Programme\Styler\Styler.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Verena Brams\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4810/mcfscan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

--

#6 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Verena Brams\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Rechner neu starten

SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread

Malwarebytes Anti-Malware
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus

#7 Huhu, danke für die schnelle Antwort.
Hier der Bericht, allerdings nennt sich das bei mir nur Report
Ich hoffe mal dass es das ist.

SDFix: Version 1.211

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\VERENA~1\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\antiv.exe - Deleted
C:\WINDOWS\winudpmgr.exe - Deleted
C:\WINDOWS\system32\nvrsul32.dll - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 15:39:07
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\bin\\tmengine.exe"="C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\bin\\tmengine.exe:*:Enabled:TM Engine"
"C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\bin\\lexAPI.exe"="C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\bin\\lexAPI.exe:*:Enabled:LEXAPI server"
"C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\bin\\engine.exe"="C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\bin\\engine.exe:*:Enabled:Text processing"
"C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\StdAlone\\MT_Alone.exe"="C:\\Programme\\Langenscheidt T1 6_0\\Engine\\mte\\StdAlone\\MT_Alone.exe:*:Enabled:T1 Standalone"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"="C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe:*:Enabled:CyberLink PowerDVD"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

Remaining Files :


File Backups: - C:\DOKUME~1\VERENA~1\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 5 Feb 2008 24 ..SH. --- "C:\WINDOWS\SB8FC43C8.tmp"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Fri 13 Jul 2007 5,388,088 A..H. --- "C:\Programme\Picasa2\setup.exe"
Mon 4 Oct 2004 417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe"
Thu 27 May 2004 61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\uinstrsc.dll"
Fri 1 Aug 2008 1,024 A..H. --- "C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP643\A0103560.sys"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT1.tmp"
Wed 16 Jan 2002 57,344 A..H. --- "C:\Dokumente und Einstellungen\Verena Brams\Eigene Dateien\Zeug Rudi\Dokumente-privat\~WRL1242.tmp"

Finished!


Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1015
Windows 5.1.2600 Service Pack 2

16:52:21 02.08.2008
mbam-log-8-2-2008 (16-52-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 39821
Laufzeit: 4 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#8 Entferne jetzt C:\DOKUME~1\VERENA~1\Desktop\SDFix\backups\backups.zip

Und werden jetzt noch Berichte verschickt?

Benutze CrapCleaner
http://www.ccleaner.de/?protecus.de
__________
MfG Argus