Probs mit: Trojan.Klone.I,MemScan:Trojan.Vundo.K,Trojan.FakeAlert.CX uvm....

#1 1.
Erstellen eines Hijackthis-Logfiles
Nach dem scannen und dem drücken der savelog-"Taste" öffnet sich bei mir kein editor kann hier leider nichts abspeichern.

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
-ausgeführt!

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
Malagandt - 06-10-01 15:37:55,50 Service Pack 1
ComboFix 06.09.28 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ixt0.dll
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{08C1FAB7-0708-1031-0127-060503050031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-01 to 2006-10-01 ))))))))))))))))))))))))))))))))))


2006-09-29 19:37 86,068 --a------ C:\WINDOWS\system32\suqlckeu.dll
2006-09-29 19:36 677,327 ---hs---- C:\WINDOWS\system32\qtvwa.bak2
2006-09-29 19:36 45,525 --a------ C:\WINDOWS\system32\weygcspt.dll
2006-09-29 19:36 143,380 --a------ C:\WINDOWS\system32\dsyyfcng.exe
2006-09-29 18:31 73,728 --a------ C:\WINDOWS\system32\sockspy.dll
2006-09-29 18:25 77,824 --a------ C:\WINDOWS\system32\xcomm.dll
2006-09-29 15:50 577,588 ---hs---- C:\WINDOWS\system32\awvtq.dll
2006-09-29 15:45 40,973 ---hs---- C:\WINDOWS\system32\mljhfgd.dll
2006-09-12 14:40 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-09-12 14:34 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2006-09-12 14:34 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2006-09-12 14:34 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2006-09-12 14:34 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-09-12 14:27 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-09-12 14:27 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-09-12 14:27 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-09-12 14:27 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-09-12 14:27 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-09-12 14:27 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-09-03 14:54 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2006-09-01 10:08 60,672 --a------ C:\WINDOWS\system32\drivers\viamraid.sys
2006-09-01 09:46 36,224 --a------ C:\WINDOWS\system32\drivers\isapnp.sys
2006-09-01 09:45 27,904 --a------ C:\WINDOWS\system32\drivers\VIAAGP1.SYS


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-01 15:38 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-01 15:37 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-01 15:26 -------- d-------- C:\Programme\CleanUp!
2006-09-29 19:37 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\SearchToolbarCorp
2006-09-29 19:36 -------- d-------- C:\Programme\VSToolbar
2006-09-29 16:02 -------- d-------- C:\Programme\Softwin
2006-09-29 16:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-09-29 15:49 -------- d-------- C:\Programme\eMule.de
2006-09-28 17:20 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-28 17:20 -------- d-------- C:\Programme\CyberLink
2006-09-28 17:20 -------- d-------- C:\Programme\Audacity
2006-09-28 17:19 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-26 12:06 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2006-09-24 17:15 -------- d-------- C:\Programme\mIRC
2006-09-21 10:45 -------- d---s---- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Microsoft
2006-09-21 10:44 -------- d-------- C:\Programme\MSN Messenger
2006-09-17 19:43 -------- d-------- C:\Programme\ICQLite
2006-09-17 18:11 -------- d-------- C:\Programme\Java
2006-09-17 18:11 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Sun
2006-09-17 17:57 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-09-14 19:25 -------- d-------- C:\Programme\Messenger
2006-09-14 19:25 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-12 15:38 -------- d-------- C:\Programme\Internet Explorer
2006-09-12 14:27 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-03 15:01 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Adobe
2006-09-03 14:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-03 14:55 -------- d-------- C:\Programme\Adobe
2006-09-03 14:51 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia Shared
2006-09-03 14:51 -------- d-------- C:\Programme\dreamweaver
2006-09-03 14:51 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Macromedia
2006-09-02 15:58 -------- d-------- C:\Programme\DivX
2006-08-24 23:15 -------- d-------- C:\Programme\WinRAR
2006-08-17 23:24 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Mozilla
2006-08-14 21:48 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Lavasoft
2006-08-14 21:47 -------- d-------- C:\Programme\Lavasoft
2006-08-14 21:45 -------- d-------- C:\Programme\xp-AntiSpy
2006-08-13 16:58 10345 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-08-13 16:58 -------- d-------- C:\Programme\Hamachi
2006-08-10 15:56 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\teamspeak2
2006-08-06 16:20 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-04 17:37 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-08-04 17:37 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-08-03 20:46 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\ICQLite
2006-08-02 20:45 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-08-02 20:44 62 --ahs---- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\desktop.ini
2006-08-02 20:44 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-02 20:29 -------- d-------- C:\Programme\TS2
2006-08-02 20:03 -------- d-------- C:\Programme\Realtek Sound Manager
2006-08-02 20:03 -------- d-------- C:\Programme\Realtek AC97
2006-08-02 20:02 -------- d-------- C:\Programme\VIA
2006-08-02 19:58 -------- d--h----- C:\Programme\Uninstall Information
2006-08-02 19:58 -------- d-------- C:\Programme\Windows Media Player
2006-08-02 19:58 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Identities
2006-08-02 19:54 0 -rahs---- C:\MSDOS.SYS
2006-08-02 19:54 0 -rahs---- C:\IO.SYS
2006-08-02 19:54 0 --a------ C:\CONFIG.SYS
2006-08-02 19:54 0 --a------ C:\AUTOEXEC.BAT
2006-08-02 19:54 -------- d-------- C:\Programme\xerox
2006-08-02 19:54 -------- d-------- C:\Programme\microsoft frontpage
2006-08-02 19:52 -------- d-------- C:\Programme\Online-Dienste
2006-08-02 19:52 -------- d-------- C:\Programme\Movie Maker
2006-08-02 19:51 -------- d-------- C:\Programme\Outlook Express
2006-08-02 19:51 -------- d-------- C:\Programme\NetMeeting
2006-08-02 19:51 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-02 19:51 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-02 19:51 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-08-02 19:50 -------- d-------- C:\Programme\Windows NT
2006-08-02 19:50 -------- d-------- C:\Programme\Online Services
2006-08-02 19:50 -------- d-------- C:\Programme\MSN Gaming Zone
2006-08-02 19:50 -------- d-------- C:\Programme\MSN
2006-08-02 19:50 -------- d-------- C:\Programme\ComPlus Applications
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 04:05 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-07-03 23:40 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-07-03 23:40 620180 --a------ C:\WINDOWS\system32\DivX.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"BDNewsAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdnagent.exe\""
"BDSwitchAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdswitch.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,44,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{D3B3C51E-8D11-4667-85B9-0930F519BED7}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RaidTool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="raid_tool"
"hkey"="HKLM"
"command"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyQuake2.com]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Spy-Quake2"
"hkey"="HKLM"
"command"="C:\\Programme\\SpyQuake2.com\\Spy-Quake2.exe /h"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljhfgd
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmfu32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 01.10.2006 15:38:45.60
ComboFix.txt

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 08C1-FAB7

Verzeichnis von C:\WINDOWS\system32

01.10.2006 15:45 728.305 qtvwa.ini
01.10.2006 15:45 81.984 bdod.bin
01.10.2006 15:30 17.145 nvapps.xml
01.10.2006 14:49 14 getfile.dat
30.09.2006 19:36 677.327 qtvwa.bak2
29.09.2006 19:37 86.068 suqlckeu.dll
29.09.2006 19:36 143.380 dsyyfcng.exe
29.09.2006 19:36 45.525 weygcspt.dll
29.09.2006 18:31 73.728 sockspy.dll
29.09.2006 18:25 77.824 xcomm.dll
29.09.2006 16:06 4.286 ot.ico
29.09.2006 16:06 4.286 ts.ico
29.09.2006 15:51 577.588 awvtq.dll
29.09.2006 15:45 40.973 mljhfgd.dll
29.09.2006 11:06 13.646 wpa.dbl
17.09.2006 18:11 7.006 jupdate-1.5.0_06-b05.log
12.09.2006 15:42 386.146 perfh009.dat
12.09.2006 15:42 56.500 perfc009.dat
12.09.2006 15:42 398.664 perfh007.dat
12.09.2006 15:42 68.294 perfc007.dat
12.09.2006 15:42 810.044 PerfStringBackup.INI
04.09.2006 09:14 126.912 FNTCACHE.DAT
06.08.2006 16:20 43.520 CmdLineExt03.dll
04.08.2006 17:37 73.728 dpl100.dll
04.08.2006 17:37 196.608 dtu100.dll
02.08.2006 20:48 0 h323log.txt
02.08.2006 20:22 13.646 wpa.bak
02.08.2006 19:58 25.065 wmpscheme.xml
02.08.2006 19:56 261 $winnt$.inf
02.08.2006 19:54 2.951 CONFIG.NT
02.08.2006 19:53 16.832 amcompat.tlb
02.08.2006 19:53 23.392 nscompat.tlb
02.08.2006 19:52 488 logonui.exe.manifest
02.08.2006 19:52 488 WindowsLogon.manifest
02.08.2006 19:52 749 cdplayer.exe.manifest
02.08.2006 19:52 749 sapi.cpl.manifest
02.08.2006 19:52 749 wuaucpl.cpl.manifest
02.08.2006 19:52 749 nwc.cpl.manifest
02.08.2006 19:52 749 ncpa.cpl.manifest
02.08.2006 19:51 21.740 emptyregdb.dat
29.07.2006 19:32 48.936 sirenacm.dll
27.07.2006 04:05 3.596.288 qt-dx331.dll
03.07.2006 23:40 778.240 divx_xx07.dll
03.07.2006 23:40 778.240 divx_xx0c.dll
03.07.2006 23:40 761.856 divx_xx11.dll
03.07.2006 23:40 620.180 DivX.dll

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 08C1-FAB7

Verzeichnis von C:\DOKUME~1\MALAGA~1\LOKALE~1\Temp

01.10.2006 15:30 512 ~DF6A7E.tmp
01.10.2006 15:30 32.768 ~DF6A61.tmp
01.10.2006 15:30 512 ~DF97D.tmp
01.10.2006 15:30 32.768 ~DF970.tmp
4 Datei(en) 66.560 Bytes
0 Verzeichnis(se), 5.872.414.720 Bytes frei

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 08C1-FAB7

Verzeichnis von C:\WINDOWS

01.10.2006 15:30 0 0.log
01.10.2006 15:30 243.967 WindowsUpdate.log
01.10.2006 15:30 2.048 bootstat.dat
01.10.2006 15:28 13.416 SchedLgU.Txt
29.09.2006 16:48 600 win.ini
29.09.2006 16:48 227 system.ini
22.09.2006 18:18 411 wiadebug.log
22.09.2006 13:44 556.732 setupapi.log
22.09.2006 13:33 50 wiaservc.log
17.09.2006 18:11 3.025 mozver.dat
16.09.2006 17:41 157.006 DirectX.log
13.09.2006 01:25 1.442 COM+.log
12.09.2006 14:41 6.694 WGA.log
12.09.2006 14:41 18.662 tsoc.log
12.09.2006 14:41 66.940 iis6.log
12.09.2006 14:41 2.290 tabletoc.log
12.09.2006 14:41 1.374 imsins.log
12.09.2006 14:41 11.684 ntdtcsetup.log
12.09.2006 14:41 22.036 comsetup.log
12.09.2006 14:41 8.074 KB898461.log
12.09.2006 14:41 24.760 ocgen.log
12.09.2006 14:41 1.701 ocmsn.log
12.09.2006 14:41 5.726 netfxocm.log
12.09.2006 14:41 1.791 msgsocm.log
12.09.2006 14:41 30.084 FaxSetup.log
12.09.2006 14:41 15.580 msmqinst.log
12.09.2006 14:40 1.374 imsins.BAK
12.09.2006 14:40 8.385 KB893803v2.log
12.09.2006 14:40 5.895 KB842773.log
12.09.2006 14:39 182.546 setupact.log
01.09.2006 10:13 9.242 Windows Update.log
17.08.2006 23:24 0 nsreg.dat
02.08.2006 20:47 0 Sti_Trace.log
02.08.2006 20:44 1.348 regopt.log
02.08.2006 20:43 0 setuperr.log
02.08.2006 20:23 749.443 setuplog.txt
02.08.2006 20:03 122 APSetup.log
02.08.2006 19:58 829 OEWABLog.txt
02.08.2006 19:57 8.192 REGLOCS.OLD
02.08.2006 19:54 0 control.ini
02.08.2006 19:53 299.552 WMSysPrx.prx
02.08.2006 19:53 4.161 ODBCINST.INI
02.08.2006 19:52 749 WindowsShell.Manifest
02.08.2006 19:51 1.060 sessmgr.setup.log
02.08.2006 19:50 36 vb.ini
02.08.2006 19:50 37 vbaddin.ini
02.08.2006 19:50 128 DtcInstall.log
20.03.2006 11:48 315.392 alcupd.exe
01.03.2006 16:22 577.536 soundman.exe

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 08C1-FAB7

Verzeichnis von C:\

01.10.2006 15:47 0 sys.txt
01.10.2006 15:46 4.418 system.txt
01.10.2006 15:46 433 systemtemp.txt
01.10.2006 15:45 93.059 system32.txt
01.10.2006 15:38 13.215 ComboFix.txt
01.10.2006 15:30 1.610.612.736 pagefile.sys
29.09.2006 16:48 194 boot.ini
30.08.2006 19:02 32 ALCSetup.log
12.08.2006 17:17 3.470 resetlog.txt
02.08.2006 19:54 0 IO.SYS
02.08.2006 19:54 0 AUTOEXEC.BAT
02.08.2006 19:54 0 CONFIG.SYS
02.08.2006 19:54 0 MSDOS.SYS
02.04.2003 14:00 4.952 bootfont.bin
02.04.2003 14:00 47.580 NTDETECT.COM
02.04.2003 14:00 235.296 ntldr
16 Datei(en) 1.611.015.385 Bytes
0 Verzeichnis(se), 5.872.398.336 Bytes frei

---------------------------------------------------------------------------
5.
Problembeschreibung / Symptome ?
Naja die Probleme sind so nicht zu merken bis auf neben der uhr gelegentlich eine art meldung kommt "Your computer is infected" und ansonsten schreibt die HD recht viel, mehr als normal.. meinen Internet-Explorer kann ich nicht mehr benutzen wenn ich auf eine seite gehen will linkt der sofort auf eine andere mehrkwürdige Seite wo ich eine Meldung bekomme das irgendwas mit viren befallen ist und ich auf OK klicken soll...

Ich hoffe wir können das irgendwie hinbekommen, hier die Logs von meinem BitDefender:


//-----------------------------------------------------------------
//
// Product: BitDefender 9 Professional Plus
// Version: 9.0
//
// Erstellt am: 29/09/2006 16:22:14
//
//-----------------------------------------------------------------


Statistik

Pfad : C:\
D:\
Ordner : 3157
Dateien : 132531
Archive : 1513
Komprimierte Dateien : 8668
Erkannte Viren : 5
Infizierte Dateien : 9
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 8
Umbenannte Dateien : 0
I/O Fehler : 54
Prüfzeit : 00:24:39
Prüfgeschwindigkeit (Dateien/Sekunde) : 89

Virusdefinitionen : 456352
Scan Plug-Ins : 13
Archiv Plug-Ins : 38
Archiv Plug-Ins : 6
E-Mail Plug-Ins : 6
System Plug-Ins : 1

Prüf-Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüf-Optionen
[X] Warnungen aktiviert
[X] Heuristik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: C:\Programme\Softwin\BitDefender9\Logs\vscan_1159539734.log


Zusammenfassung:

C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temp\mst46.tmp Infiziert mit: Trojan.Klone.I
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temp\mst46.tmp Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temp\mst46.tmp Verschoben
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temp\mst4B.tmp Infiziert mit: Trojan.Klone.I
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temp\mst4B.tmp Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temp\mst4B.tmp Verschoben
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G8NBHKLG\anti4[1].exe Infiziert mit: MemScan:Trojan.Vundo.K
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G8NBHKLG\anti4[1].exe Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G8NBHKLG\anti4[1].exe Verschoben
C:\Programme\Safety Bar\Uninstall.bat Infiziert mit: Trojan.Zlob.AM
C:\Programme\Safety Bar\Uninstall.bat Desinfizieren fehlgeschlagen
C:\Programme\Safety Bar\Uninstall.bat Verschoben
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007190.dll Infiziert mit: Trojan.FakeAlert.CX
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007190.dll Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007190.dll Verschoben
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007191.dll Infiziert mit: Trojan.FakeAlert.CX
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007191.dll Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007191.dll Verschoben
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007192.dll Infiziert mit: Trojan.Klone.I
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007192.dll Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007192.dll Verschoben
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007193.bat Infiziert mit: Trojan.Zlob.AM
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007193.bat Desinfizieren fehlgeschlagen
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP39\A0007193.bat Verschoben
C:\WINDOWS\system32\mljhfgd.dll Infiziert mit: Trojan.Agent.VX
C:\WINDOWS\system32\mljhfgd.dll Desinfizieren fehlgeschlagen

*EDIT*
habe geradenochmal gescannt:


//-----------------------------------------------------------------
//
// Product: BitDefender 9 Professional Plus
// Version: 9.5
//
// Erstellt am: 01/10/2006 16:06:55
//
//-----------------------------------------------------------------


Statistik

Pfad : C:\
Ordner : 2353
Dateien : 105436
Archive : 1189
Komprimierte Dateien : 6647
Erkannte Viren : 1
Infizierte Dateien : 1
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 0
Umbenannte Dateien : 0
I/O Fehler : 41
Prüfzeit : 00:19:25
Prüfgeschwindigkeit (Dateien/Sekunde) : 90

Spyware Statistiken

Geprüfte Speicher-Prozesse: 10
Infizierte Speicher-Prozesse: 0
Geprüste Registrierungsschlüssel: 1534
Infizierte Registrierungsschlüssel: 0
Geprüfte Cookies: 216
Infizierte Cookies: 0
Infizierte Spyware-Dateien: 0
Erkannte Spyware-Prozesse: 0


Virusdefinitionen : 505539
Scan Plug-Ins : 15
Archiv Plug-Ins : 41
Archiv Plug-Ins : 6
E-Mail Plug-Ins : 6
System Plug-Ins : 5

Prüf-Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüf-Optionen
[X] Warnungen aktiviert
[X] Heuristik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: C:\Programme\Softwin\BitDefender9\Logs\vscan_1159711615.log

Prüfoptionen für Spyware

[X] Speicher-Prozesse
[X] Registrierungsschlüssel
[X] Cookies


Zusammenfassung:

C:\WINDOWS\system32\mljhfgd.dll Infiziert mit: Trojan.Agent.VX
C:\WINDOWS\system32\mljhfgd.dll Desinfizieren fehlgeschlagen

*EDIT ENDE*


Viele liebe Grüße
André

#2 avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpyQuake2.com
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CURRENT_USER\Software\Search Toolbar Corp\Toolbar Vision
HKEY_CURRENT_USER\Software\Search Toolbar Corp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{821F87FF-8245-4972-9E28-732E92EC2F51}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljhfgd
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmfu32

Files to delete:
C:\WINDOWS\system32\qtvwa.ini
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\qtvwa.bak2
C:\WINDOWS\system32\suqlckeu.dll
C:\WINDOWS\system32\dsyyfcng.exe
C:\WINDOWS\system32\weygcspt.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\awvtq.dll
C:\WINDOWS\system32\mljhfgd.dll

Folders to delete:
C:\Programme\SpyQuake2.com
C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\SearchToolbarCorp
C:\Programme\VSToolbar
C:\Programme\Safety Bar
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G8NBHKLG

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger, was nach neustart erscheint

**
scanne mit smitfraudfix (optiion 1 und 2)
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Huhu habe den Avenger runtergeladen und das script wie beschrieben eingesetzt
bekomme ein errorcode: 1813 :-/

hier die errorlog:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!
-------------------------------------------
SuperSpyWare log:

SUPERAntiSpyware Scan Log
Generated 10/02/2006 at 00:07 AM

Core Rules Database Version : 3096
Trace Rules Database Version: 1123

Memory threats detected : 0
Registry threats detected : 33
File threats detected : 71

Adware.Vundo Variant
HKLM\Software\Classes\CLSID\{5D9CDF3C-E8DA-47E5-BC95-DCB1E9F83DEC}
HKCR\CLSID\{5D9CDF3C-E8DA-47E5-BC95-DCB1E9F83DEC}
HKCR\CLSID\{5D9CDF3C-E8DA-47E5-BC95-DCB1E9F83DEC}\InprocServer32
HKCR\CLSID\{5D9CDF3C-E8DA-47E5-BC95-DCB1E9F83DEC}\InprocServer32#ThreadingModel
C:\WINDOWS\System32\awvtq.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D9CDF3C-E8DA-47E5-BC95-DCB1E9F83DEC}
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP42\A0007474.dll

Browser Hijacker.BestSafetyGuide
HKLM\Software\Classes\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}\InprocServer32
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}\InprocServer32#ThreadingModel
C:\WINDOWS\System32\ixt0.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a43385f0-7113-496d-96d7-b9b550e3fcca}

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}
HKCR\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}
HKCR\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}\InprocServer32
HKCR\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}\InprocServer32#ThreadingModel
C:\WINDOWS\System32\suqlckeu.dll
HKLM\Software\Classes\CLSID\{D3B3C51E-8D11-4667-85B9-0930F519BED7}
HKCR\CLSID\{D3B3C51E-8D11-4667-85B9-0930F519BED7}
HKCR\CLSID\{D3B3C51E-8D11-4667-85B9-0930F519BED7}\InprocServer32
HKCR\CLSID\{D3B3C51E-8D11-4667-85B9-0930F519BED7}\InprocServer32#ThreadingModel
C:\WINDOWS\System32\mljhfgd.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3B3C51E-8D11-4667-85B9-0930F519BED7}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{D3B3C51E-8D11-4667-85B9-0930F519BED7}
HKCR\CLSID\{D3B3C51E-8D11-4667-85B9-0930F519BED7}
HKCR\CLSID\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@cgi-bin[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@91338698[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@2006[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@burstnet[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@tacoda[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@indexstats[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.winantivirus[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@as1.falkag[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@scanner[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@indextools[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ads.heias[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@mediavantage[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.amaena[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@atdmt[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@euros4click[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.go-clicks[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@komtrack[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@mb[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@tracker.e-sport[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@8[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@a[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@rambler[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@cgi-bin[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ad.adnet[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.sexuploader[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@phpmv2[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@sexydane[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ex=0_[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@cz6.clickzs[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@1068632757[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@amaena[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@toplist[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@hqphitz.ath[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.burstbeacon[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ad.adition[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.pesttrap[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.burstnet[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@bluestreak[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.the4banners[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@sponsor.go-clicks[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@winantivirus[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ilead.itrack[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@de.winantivirus[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@securityworm5[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@www.netdebit-counter[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@weborama[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@data3.perf.overture[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@xxx.dl[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@stats1.reliablestats[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@adbrite[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@go.winantivirus[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@mediaplex[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@atwola[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@de[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@counter[2].txt

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
HKLM\SOFTWARE\Microsoft\MSSMGR#LID
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP41\A0007388.dll

Trojan.Malware
HKCR\MezziaCodec.Chl
HKCR\MezziaCodec.Chl\CLSID

Adware.VSToolbar
HKU\S-1-5-21-1645522239-2147152589-839522115-1003\Software\Search Toolbar Corp
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP42\A0007481.dll

Trojan.Downloader-DoWork
C:\System Volume Information\_restore{637F59F4-6318-4583-9CD7-38D8A4D3D236}\RP42\A0007482.dll


so das ists soweit das erste hat wie gesagt leider nicht funkioniert.

viele Grüße
André

#4 noch mal...solange probieren, bis es klappt

Zitat

Files to delete:
C:\WINDOWS\system32\qtvwa.ini
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\qtvwa.bak2
C:\WINDOWS\system32\suqlckeu.dll
C:\WINDOWS\system32\dsyyfcng.exe
C:\WINDOWS\system32\weygcspt.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\awvtq.dll
C:\WINDOWS\system32\mljhfgd.dll

Folders to delete:
C:\Programme\SpyQuake2.com
C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\SearchToolbarCorp
C:\Programme\VSToolbar
C:\Programme\Safety Bar
C:\Dokumente und Einstellungen\Malagandt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G8NBHKLG

**
dann scanne mit smitfraudfix (option 1 und 2 ) - poste beide scanreporte)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Avenger - durchgeführt

dann scanne mit smitfraudfix (option 1 und 2 ) - poste beide scanreporte)
Report 1
SmitFraudFix v2.104

Scan done at 1:22:52,20, 02.10.2006
Run from C:\Dokumente und Einstellungen\Malagandt\Eigene Dateien\Eigene Bilder\AntiViren\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Malagandt


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Malagandt\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\MALAGA~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Report 2
SmitFraudFix v2.104

Scan done at 1:29:07,68, 02.10.2006
Run from C:\Dokumente und Einstellungen\Malagandt\Eigene Dateien\Eigene Bilder\AntiViren\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


viele Grüße
André

#6 zur ueberpruefung:
poste noch mal das 1. log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo, hier das log mit den letzten 4 Monaten:

Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 08C1-FAB7

Verzeichnis von C:\WINDOWS\system32

02.10.2006 11:59 81.984 bdod.bin
02.10.2006 11:14 17.145 nvapps.xml
01.10.2006 23:52 0 cmmgr32.exe
01.10.2006 22:52 14 getfile.dat
01.10.2006 22:34 696.748 qtvwa.ini2
01.10.2006 20:16 679.023 qtvwa.tmp
29.09.2006 18:31 73.728 sockspy.dll
29.09.2006 18:25 77.824 xcomm.dll
29.09.2006 11:06 13.646 wpa.dbl
17.09.2006 18:11 7.006 jupdate-1.5.0_06-b05.log


viele Grüße
André

#8 Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\cmmgr32.exe
C:\WINDOWS\system32\getfile.dat
C:\WINDOWS\system32\qtvwa.ini2
C:\WINDOWS\system32\qtvwa.tmp

dann post noch mal das log von combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Avenger
- erfolgreich ausgeführt alle files gelöscht.

combofix
Malagandt - 06-10-02 12:15:20,89 Service Pack 1
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Malagandt\Eigene Dateien\Eigene Bilder\AntiViren"

((((((((((((((((((((((((((((((( Files Created from 2006-09-02 to 2006-10-02 ))))))))))))))))))))))))))))))))))


2006-09-29 18:31 73,728 --a------ C:\WINDOWS\system32\sockspy.dll
2006-09-29 18:25 77,824 --a------ C:\WINDOWS\system32\xcomm.dll
2006-09-12 14:40 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-09-12 14:34 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2006-09-12 14:34 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2006-09-12 14:34 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2006-09-12 14:34 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-09-12 14:27 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-09-12 14:27 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-09-12 14:27 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-09-12 14:27 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-09-12 14:27 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-09-12 14:27 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-09-03 14:54 328,704 --a------ C:\WINDOWS\IsUn0407.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-02 12:13 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-02 00:28 -------- d---s---- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Microsoft
2006-10-02 00:28 -------- d-------- C:\Programme\Ventrilo
2006-10-02 00:28 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Ventrilo
2006-10-02 00:27 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-01 23:45 -------- d-------- C:\Programme\SUPERAntiSpyware
2006-10-01 23:45 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-01 23:45 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\SUPERAntiSpyware.com
2006-10-01 15:26 -------- d-------- C:\Programme\CleanUp!
2006-09-29 16:02 -------- d-------- C:\Programme\Softwin
2006-09-29 16:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-09-29 15:49 -------- d-------- C:\Programme\eMule.de
2006-09-28 17:20 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-28 17:20 -------- d-------- C:\Programme\CyberLink
2006-09-28 17:20 -------- d-------- C:\Programme\Audacity
2006-09-28 17:19 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-26 12:06 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2006-09-24 17:15 -------- d-------- C:\Programme\mIRC
2006-09-21 10:44 -------- d-------- C:\Programme\MSN Messenger
2006-09-17 19:43 -------- d-------- C:\Programme\ICQLite
2006-09-17 18:11 -------- d-------- C:\Programme\Java
2006-09-17 18:11 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Sun
2006-09-17 17:57 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-09-14 19:25 -------- d-------- C:\Programme\Messenger
2006-09-14 19:25 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-12 15:38 -------- d-------- C:\Programme\Internet Explorer
2006-09-12 14:27 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-03 15:01 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Adobe
2006-09-03 14:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-03 14:55 -------- d-------- C:\Programme\Adobe
2006-09-03 14:51 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia Shared
2006-09-03 14:51 -------- d-------- C:\Programme\dreamweaver
2006-09-03 14:51 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Macromedia
2006-09-02 15:58 -------- d-------- C:\Programme\DivX
2006-08-24 23:15 -------- d-------- C:\Programme\WinRAR
2006-08-17 23:24 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Mozilla
2006-08-14 21:48 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Lavasoft
2006-08-14 21:47 -------- d-------- C:\Programme\Lavasoft
2006-08-14 21:45 -------- d-------- C:\Programme\xp-AntiSpy
2006-08-13 16:58 10345 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-08-13 16:58 -------- d-------- C:\Programme\Hamachi
2006-08-10 15:56 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\teamspeak2
2006-08-06 16:20 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-04 17:37 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-08-04 17:37 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-08-03 20:46 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\ICQLite
2006-08-02 20:45 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-08-02 20:44 62 --ahs---- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\desktop.ini
2006-08-02 20:44 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-02 20:29 -------- d-------- C:\Programme\TS2
2006-08-02 20:03 -------- d-------- C:\Programme\Realtek Sound Manager
2006-08-02 20:03 -------- d-------- C:\Programme\Realtek AC97
2006-08-02 20:02 -------- d-------- C:\Programme\VIA
2006-08-02 19:58 -------- d--h----- C:\Programme\Uninstall Information
2006-08-02 19:58 -------- d-------- C:\Programme\Windows Media Player
2006-08-02 19:58 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Identities
2006-08-02 19:54 0 -rahs---- C:\MSDOS.SYS
2006-08-02 19:54 0 -rahs---- C:\IO.SYS
2006-08-02 19:54 0 --a------ C:\CONFIG.SYS
2006-08-02 19:54 0 --a------ C:\AUTOEXEC.BAT
2006-08-02 19:54 -------- d-------- C:\Programme\xerox
2006-08-02 19:54 -------- d-------- C:\Programme\microsoft frontpage
2006-08-02 19:52 -------- d-------- C:\Programme\Online-Dienste
2006-08-02 19:52 -------- d-------- C:\Programme\Movie Maker
2006-08-02 19:51 -------- d-------- C:\Programme\Outlook Express
2006-08-02 19:51 -------- d-------- C:\Programme\NetMeeting
2006-08-02 19:51 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-02 19:51 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-02 19:51 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-08-02 19:50 -------- d-------- C:\Programme\Windows NT
2006-08-02 19:50 -------- d-------- C:\Programme\Online Services
2006-08-02 19:50 -------- d-------- C:\Programme\MSN Gaming Zone
2006-08-02 19:50 -------- d-------- C:\Programme\MSN
2006-08-02 19:50 -------- d-------- C:\Programme\ComPlus Applications
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 04:05 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-07-03 23:40 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-07-03 23:40 620180 --a------ C:\WINDOWS\system32\DivX.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"BDNewsAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdnagent.exe\""
"BDSwitchAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdswitch.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RaidTool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="raid_tool"
"hkey"="HKLM"
"command"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 02.10.2006 12:15:35.95
ComboFix.txt
ComboFix2.txt

#10 scanne noch mal mit superantispyware und berichte, ob das proggie noch was findet
__________
MfG Sabina

rund um die PC-Sicherheit

#11 SUPERAntiSpyware Scan Log
Generated 10/02/2006 at 07:09 PM

Core Rules Database Version : 3096
Trace Rules Database Version: 1123

Memory Thread detected : 0
Registry Thread detected : 0
File Thread detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@as1.falkag[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@tradedoubler[1].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@atdmt[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@rambler[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@weborama[2].txt
C:\Dokumente und Einstellungen\Malagandt\Cookies\malagandt@atwola[1].txt

#12 nun zum letzten mal: das erste log von datfindbat + das neue log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#13 bin leider jetzt auf dem Sprung werde morgen früh es hier aber umgehend posten!

datfind.bat
Datentr„ger in Laufwerk C: ist system
Volumeseriennummer: 08C1-FAB7

Verzeichnis von C:\WINDOWS\system32

03.10.2006 13:37 81.984 bdod.bin
03.10.2006 12:57 17.145 nvapps.xml
02.10.2006 18:50 0 cmmgr32.exe
29.09.2006 18:31 73.728 sockspy.dll
29.09.2006 18:25 77.824 xcomm.dll
29.09.2006 11:06 13.646 wpa.dbl
17.09.2006 18:11 7.006 jupdate-1.5.0_06-b05.log
12.09.2006 15:42 386.146 perfh009.dat
12.09.2006 15:42 398.664 perfh007.dat

Combofix

Malagandt - 06-10-03 13:39:57,25 Service Pack 1
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Malagandt\Eigene Dateien\Eigene Bilder\AntiViren"

((((((((((((((((((((((((((((((( Files Created from 2006-09-03 to 2006-10-03 ))))))))))))))))))))))))))))))))))


2006-10-02 18:50 0 --a------ C:\WINDOWS\system32\cmmgr32.exe
2006-09-29 18:31 73,728 --a------ C:\WINDOWS\system32\sockspy.dll
2006-09-29 18:25 77,824 --a------ C:\WINDOWS\system32\xcomm.dll
2006-09-12 14:40 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-09-12 14:34 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2006-09-12 14:34 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2006-09-12 14:34 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2006-09-12 14:34 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-09-12 14:27 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-09-12 14:27 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-09-12 14:27 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-09-12 14:27 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-09-12 14:27 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-09-12 14:27 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-09-03 14:54 328,704 --a------ C:\WINDOWS\IsUn0407.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-03 13:37 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-03 13:07 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-02 00:28 -------- d---s---- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Microsoft
2006-10-02 00:28 -------- d-------- C:\Programme\Ventrilo
2006-10-02 00:28 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Ventrilo
2006-10-02 00:27 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-01 23:45 -------- d-------- C:\Programme\SUPERAntiSpyware
2006-10-01 23:45 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-01 23:45 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\SUPERAntiSpyware.com
2006-10-01 15:26 -------- d-------- C:\Programme\CleanUp!
2006-09-29 16:02 -------- d-------- C:\Programme\Softwin
2006-09-29 16:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-09-29 15:49 -------- d-------- C:\Programme\eMule.de
2006-09-28 17:20 -------- d-------- C:\Programme\CyberLink
2006-09-28 17:20 -------- d-------- C:\Programme\Audacity
2006-09-28 17:19 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-26 12:06 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2006-09-24 17:15 -------- d-------- C:\Programme\mIRC
2006-09-21 10:44 -------- d-------- C:\Programme\MSN Messenger
2006-09-17 19:43 -------- d-------- C:\Programme\ICQLite
2006-09-17 18:11 -------- d-------- C:\Programme\Java
2006-09-17 18:11 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Sun
2006-09-17 17:57 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-09-14 19:25 -------- d-------- C:\Programme\Messenger
2006-09-14 19:25 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-12 15:38 -------- d-------- C:\Programme\Internet Explorer
2006-09-12 14:27 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-03 15:01 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Adobe
2006-09-03 14:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-03 14:55 -------- d-------- C:\Programme\Adobe
2006-09-03 14:51 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia Shared
2006-09-03 14:51 -------- d-------- C:\Programme\dreamweaver
2006-09-03 14:51 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Macromedia
2006-09-02 15:58 -------- d-------- C:\Programme\DivX
2006-08-24 23:15 -------- d-------- C:\Programme\WinRAR
2006-08-17 23:24 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Mozilla
2006-08-14 21:48 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Lavasoft
2006-08-14 21:47 -------- d-------- C:\Programme\Lavasoft
2006-08-14 21:45 -------- d-------- C:\Programme\xp-AntiSpy
2006-08-13 16:58 10345 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-08-13 16:58 -------- d-------- C:\Programme\Hamachi
2006-08-10 15:56 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\teamspeak2
2006-08-06 16:20 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-04 17:37 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-08-04 17:37 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-08-03 20:46 -------- d-------- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\ICQLite
2006-08-02 20:44 62 --ahs---- C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\desktop.ini
2006-08-02 19:54 0 -rahs---- C:\MSDOS.SYS
2006-08-02 19:54 0 -rahs---- C:\IO.SYS
2006-08-02 19:54 0 --a------ C:\CONFIG.SYS
2006-08-02 19:54 0 --a------ C:\AUTOEXEC.BAT
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 04:05 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-07-03 23:40 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-07-03 23:40 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-07-03 23:40 620180 --a------ C:\WINDOWS\system32\DivX.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"BDNewsAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdnagent.exe\""
"BDSwitchAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdswitch.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RaidTool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="raid_tool"
"hkey"="HKLM"
"command"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 03.10.2006 13:40:46.28
ComboFix.txt
ComboFix2.txt
ComboFix3.txt


Gruß
André

#14 1. loesche manuell:
C:\WINDOWS\system32\cmmgr32.exe

2.
scanne und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 1. loesche manuell:
erledigt!

2. scanne und poste den report
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 22:41:47 05.10.2006

+ Scan-Ergebnis:



C:\avenger\backup-02.10.2006- 1.20.18,90.zip/avenger/mljhfgd.dll -> Adware.Virtumionde : Keine Aktion durchgeführt.
C:\avenger\backup-02.10.2006-12.12.45,43.zip/avenger/mljhfgd.dll -> Adware.Virtumionde : Keine Aktion durchgeführt.
C:\avenger\backup-02.10.2006- 1.20.18,90.zip/avenger/weygcspt.dll -> Logger.VBStat.e : Keine Aktion durchgeführt.
:mozilla.212:C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Mozilla\Firefox\Profiles\75u4cozg.default\cookies.txt.old -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.213:C:\Dokumente und Einstellungen\Malagandt\Anwendungsdaten\Mozilla\Firefox\Profiles\75u4cozg.default\cookies.txt.old

edit

::Berichtende

Alles was gefunden wurde ist gelöscht!

viele Grüße
André