HijackThis Log: brauche jmd der ahnung hat!

#1 Logfile of HijackThis v1.99.1
Scan saved at 17:55:10, on 08.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\WINDOWS\TEMP\VRT1C.tmp
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Opera\Opera.exe
C:\DOKUME~1\SONJA~1.SON\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C143ACB3-5A07-46A7-B180-4CA73F34A64C}: NameServer = 213.191.74.19 213.191.92.87
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Verzeichnis von C:\WINDOWS\system32

08.12.2006 18:32 13.680 wpa.dbl
08.12.2006 17:21 13.680 wpa.bak
08.12.2006 16:39 311.604 perfh009.dat
08.12.2006 16:39 48.156 perfc007.dat
08.12.2006 16:39 39.992 perfc009.dat
08.12.2006 16:39 316.594 perfh007.dat
08.12.2006 16:39 723.744 PerfStringBackup.INI
08.12.2006 16:37 257 spupdwxp.log
08.12.2006 16:36 91.888 FNTCACHE.DAT
05.12.2006 21:12 25.065 wmpscheme.xml
05.12.2006 21:09 758 $winnt$.inf
05.12.2006 21:03 2.951 CONFIG.NT
05.12.2006 21:03 16.832 amcompat.tlb
05.12.2006 21:03 23.392 nscompat.tlb
05.12.2006 21:01 488 logonui.exe.manifest
05.12.2006 21:01 488 WindowsLogon.manifest
05.12.2006 21:00 749 sapi.cpl.manifest
05.12.2006 21:00 749 nwc.cpl.manifest
05.12.2006 21:00 749 ncpa.cpl.manifest
05.12.2006 21:00 749 cdplayer.exe.manifest
05.12.2006 21:00 749 wuaucpl.cpl.manifest
05.12.2006 20:59 21.740 emptyregdb.dat
05.12.2006 20:55 0 h323log.txt
29.11.2006 16:31 1.474.864 LegitCheckControl.DLL
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 18.944 ieudinit.exe
07.11.2006 03:26 60.416 ie4uinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
17.10.2006 12:06 443.904 html.iec
17.10.2006 12:06 78.336 ieencode.dll
17.10.2006 12:05 211.968 WinFXDocObj.exe
17.10.2006 12:05 1.817.088 inetcpl.cpl
17.10.2006 12:05 105.984 url.dll
17.10.2006 12:05 40.960 licmgr10.dll
17.10.2006 12:05 192.000 msrating.dll
17.10.2006 12:04 101.376 occache.dll
17.10.2006 12:03 17.408 corpol.dll
17.10.2006 12:00 491.520 jscript.dll
17.10.2006 11:58 17.920 msfeedssync.exe
17.10.2006 11:58 61.952 icardie.dll
17.10.2006 11:58 44.544 pngfilt.dll
17.10.2006 11:58 346.624 dxtmsft.dll
17.10.2006 11:57 36.352 imgutil.dll
17.10.2006 11:57 214.528 dxtrans.dll
17.10.2006 11:57 266.752 iertutil.dll
17.10.2006 11:56 51.200 mshta.exe
17.10.2006 11:55 66.560 tdc.ocx
17.10.2006 11:28 48.128 mshtmler.dll
17.10.2006 11:27 380.928 ieapfltr.dll
17.10.2006 11:19 1.383.424 mshtml.tlb


Verzeichnis von C:\DOKUME~1\SONJA~1.SON\LOKALE~1\Temp

08.12.2006 19:43 16.384 Perflib_Perfdata_464.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 74.263.805.952 Bytes frei


Verzeichnis von C:\WINDOWS

08.12.2006 19:42 34.189 WindowsUpdate.log
08.12.2006 19:42 399.922 setupapi.log
08.12.2006 19:03 0 0.log
08.12.2006 19:02 2.048 bootstat.dat
08.12.2006 19:01 1.964 SchedLgU.Txt
08.12.2006 18:33 35.320 spupdsvc.log
08.12.2006 18:30 15.074 ie7_main.log
08.12.2006 18:29 32.672 comsetup.log
08.12.2006 18:29 6.732 iis6.log
08.12.2006 18:29 20.229 ntdtcsetup.log
08.12.2006 18:29 3.520 ocmsn.log
08.12.2006 18:29 25.452 tsoc.log
08.12.2006 18:29 1.374 imsins.log
08.12.2006 18:29 39.543 ie7.log
08.12.2006 18:29 41.263 ocgen.log
08.12.2006 18:29 3.163 msgsocm.log
08.12.2006 18:29 51.946 FaxSetup.log
08.12.2006 18:29 14.164 updspapi.log
08.12.2006 18:27 1.374 imsins.BAK
08.12.2006 18:27 6.434 IDNMitigationAPIs.log
08.12.2006 18:27 6.152 NLSDownlevelMapping.log
08.12.2006 18:26 5.812 KB915865.log
08.12.2006 17:21 854.645 setuplog.txt
08.12.2006 17:01 3.127 netcfg.log
08.12.2006 17:01 403 awprotoc.txt
08.12.2006 17:00 61 awerror.txt
08.12.2006 16:38 360 DtcInstall.log
08.12.2006 16:38 630 wmsetup.log
08.12.2006 16:38 316.640 WMSysPr9.prx
08.12.2006 16:38 1.174 OEWABLog.txt
08.12.2006 16:34 881.878 svcpack.log
08.12.2006 16:19 200 cmsetacl.log
08.12.2006 16:19 487 win.ini
08.12.2006 16:19 299.552 WMSysPrx.prx
08.12.2006 16:19 1.330 sessmgr.setup.log
08.12.2006 15:20 613 medctroc.Log
08.12.2006 15:09 169.621 setupact.log
05.12.2006 21:10 8.192 REGLOCS.OLD
05.12.2006 21:03 0 control.ini
05.12.2006 21:02 4.161 ODBCINST.INI
05.12.2006 21:02 280 Windows Update.log
05.12.2006 21:00 749 WindowsShell.Manifest
05.12.2006 20:58 37 vbaddin.ini
05.12.2006 20:58 36 vb.ini
05.12.2006 20:37 50 wiaservc.log
05.12.2006 20:37 509 wiadebug.log
05.12.2006 20:37 0 Sti_Trace.log
05.12.2006 20:34 1.310 regopt.log
05.12.2006 20:34 231 system.ini
05.12.2006 20:32 0 setuperr.log


Verzeichnis von C:\WINDOWS\Temp

08.12.2006 19:43 36.865 VRT9.tmp
08.12.2006 19:05 36.865 VRT1.tmp
2 Datei(en) 73.730 Bytes
0 Verzeichnis(se), 74.263.797.760 Bytes frei


Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.12.2006 21:01 65 desktop.ini
29.11.2006 14:00 367 LegitCheckControl.inf


Verzeichnis von C:\

08.12.2006 19:51 0 sys.txt
08.12.2006 19:51 496 down.txt
08.12.2006 19:50 319 tmp.txt
08.12.2006 19:49 4.414 system.txt
08.12.2006 19:49 311 systemtemp.txt
08.12.2006 19:48 88.116 system32.txt
08.12.2006 19:02 536.399.872 hiberfil.sys
08.12.2006 19:02 805.306.368 pagefile.sys
08.12.2006 16:19 211 boot.ini
08.12.2006 15:28 47.564 NTDETECT.COM
08.12.2006 15:28 251.184 ntldr
02.12.2006 21:56 244 sqmnoopt00.sqm
02.12.2006 21:56 268 sqmdata00.sqm
02.12.2006 15:59 0 IO.SYS
02.12.2006 15:59 0 CONFIG.SYS
02.12.2006 15:59 0 AUTOEXEC.BAT
02.12.2006 15:59 0 MSDOS.SYS

#4 spanky

Killbox
http://virus-protect.org/killbox.html
Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\Temp\VRT9.tmp
C:\WINDOWS\TEMP\VRT1C.tmp
C:\WINDOWS\Temp\VRT1.tmp

PC neustarten

**
scanne und poste den scanreport hier
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Habe hier nen freund, der sich wohl auch sowas eingefangen hat.

Bin aus den andern Beiträgen zwar nicht ganz schlau geworden, aber ich glaube, ich muss hier jetzt diese LOG-Datei posten unddann auf weitere Anweisung warten, oder????

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 20:13:14, on 08.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Video ActiveX Object\isamonitor.exe
C:\Programme\Video ActiveX Object\pmsngr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Video ActiveX Object\pmmon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Video ActiveX Object\isamini.exe
C:\Tobi's Programme\ICQ\ICQ 5.04\ICQLite\ICQLite.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\sbeddem.exe
C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Desktop\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1a1ddc19-5893-43ab-a73f-f41a0f34d115} - C:\Programme\Video ActiveX Object\isaddon.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Tobi's Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Programme\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Tobi's Programme\ICQ\ICQ 5.04\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AceGain LiveUpdate] D:\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
O4 - HKLM\..\Run: [Security] C:\WINDOWS\WindowsSecurityUpdate.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Tobi's Programme\ICQ\ICQ 5.04\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Drax seine Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: deltemp.bat
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tobi's Programme\ICQ\ICQ 5.04\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tobi's Programme\ICQ\ICQ 5.04\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.vrweb.de
O20 - AppInit_DLLs: mididpnh.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll
O21 - SSODL: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - C:\WINDOWS\system32\vcehaeb.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Wär echt nett, wenn mir jetzt jemand erklärt, wie ich weiter verfahren muss.

Danke

Zitat

#6 CWempe

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hi ich hab mir da auch sowas nettes eingefangen aber meine ich das nur oder is en format c nich evtl einfacher??

hab auch mal ne logfile erstellt hat ja hier jeder sowas :-)

Logfile of HijackThis v1.99.1
Scan saved at 22:34:45, on 08.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Object\isamonitor.exe
C:\Programme\Video ActiveX Object\pmsngr.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Video ActiveX Object\pmmon.exe
C:\Programme\Video ActiveX Object\isamini.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunServer.exe
C:\Dokumente und Einstellungen\Deathangel\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1a1ddc19-5893-43ab-a73f-f41a0f34d115} - C:\Programme\Video ActiveX Object\isaddon.dll
O2 - BHO: EZSaveFlash - {F9E5F47A-45FD-450C-91DF-81C72E1FADB0} - C:\Programme\EZSaveFlash\EZSaveFlash.dll
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Programme\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O9 - Extra button: Flash - {5699BDDB-A771-4E54-ACBB-BE86921D7892} - C:\Programme\EZSaveFlash\EZSaveFlash.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - C:\WINDOWS\system32\vcehaeb.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

was mir schon daran nicht gefällt ist die O3 - Toolbar: Protection Bar und die popups mit den hessichen mädels

#8 Also jetzt das hier?!?!?!

Bitte sehr, und danke im Vorraus!!

Zitat

Tobias - 06-12-08 23:03:39,04 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Desktop\Hijack"

((((((((((((((((((((((((((((((( Files Created from 2006-11-08 to 2006-12-08 ))))))))))))))))))))))))))))))))))


2006-12-08 22:26 87,552 --a------ C:\WINDOWS\system32\sbeddem.exe
2006-12-08 18:50 <DIR> d-------- C:\Programme\Softwin
2006-12-08 18:49 <DIR> d--hs---- C:\Config.Msi
2006-12-08 18:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-12-07 20:19 66,048 --a------ C:\WINDOWS\system32\drivers\EAPPkt.sys
2006-12-07 16:40 17,920 --a------ C:\WINDOWS\system32\vcehaeb.dll
2006-12-07 16:40 <DIR> d-------- C:\Programme\Virus-Bursters
2006-12-07 16:40 <DIR> d-------- C:\Programme\Video ActiveX Object
2006-12-04 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Hamachi
2006-12-04 17:00 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-11-27 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Lavasoft
2006-11-25 03:28 <DIR> d-------- C:\Programme\THQ
2006-11-25 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Xfire
2006-11-22 15:45 53,248 --ah----- C:\WINDOWS\system32\brwprf32.dll
2006-11-22 15:45 49,152 --ah----- C:\WINDOWS\system32\confbrw.dll
2006-11-22 15:45 40,960 --ah----- C:\WINDOWS\system32\brwperf.exe
2006-11-22 15:45 352,256 --ah----- C:\WINDOWS\system32\brwmgr32.dll
2006-11-22 15:45 143,360 --ah----- C:\WINDOWS\system32\brwstat.dll
2006-11-20 22:42 0 --a------ C:\WINDOWS\f8or9s.exe
2006-11-20 21:05 <DIR> d--h----- C:\WINDOWS\PIF
2006-11-20 20:32 28,672 --a------ C:\WINDOWS\system32\mididpnh.dll
2006-11-20 20:32 24,576 --a------ C:\WINDOWS\system32\jgawmsne.dll
2006-11-20 20:32 20,480 --a------ C:\WINDOWS\system32\e1.dll
2006-11-20 20:32 16,384 --a------ C:\WINDOWS\system32\fpwppgpm.exe
2006-11-20 20:32 110,592 --a------ C:\WINDOWS\system32\sbeddem.dll
2006-11-19 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Media Player Classic
2006-11-19 16:35 <DIR> d-------- C:\Programme\Atari
2006-11-19 16:18 <DIR> d-------- C:\WINDOWS\solcache
2006-11-19 16:17 <DIR> d-------- C:\Programme\Sierra On-Line
2006-11-19 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\WINDOWS
2006-11-19 16:15 20,992 --a------ C:\WINDOWS\jestertb.dll
2006-11-19 15:58 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Incomplete
2006-11-19 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\teamspeak2
2006-11-19 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\LimeWire
2006-11-16 18:20 <DIR> d-------- C:\Programme\avmwlanstick
2006-11-16 18:20 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\AVM_Driver
2006-11-16 12:27 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\AdobeUM
2006-11-14 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Sun
2006-11-13 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Adobe
2006-11-13 21:06 <DIR> dr-h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Recent
2006-11-13 20:57 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\OpenOffice.org2
2006-11-13 20:06 <DIR> d-------- C:\Programme\Azureus
2006-11-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Azureus
2006-11-13 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\ICQLite
2006-11-13 18:28 33,792 -ra------ C:\WINDOWS\system32\avmcowlan.dll
2006-11-13 18:28 264,704 -ra------ C:\WINDOWS\system32\drivers\fwlanusb.sys
2006-11-13 18:28 <DIR> d-------- C:\WINDOWS\AVM_Driver
2006-11-13 18:23 50,688 --------- C:\WINDOWS\system32\wbhelp2.dll
2006-11-13 18:22 91,648 --a------ C:\WINDOWS\osl364mi.dll
2006-11-13 18:22 287,744 --a------ C:\WINDOWS\uno364mi.dll
2006-11-13 18:22 109,568 --a------ C:\WINDOWS\vos364mi.dll
2006-11-13 18:22 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\T-Online
2006-11-13 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2006-11-13 18:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2006-11-13 18:19 <DIR> d-------- C:\Programme\T-Online
2006-11-13 18:18 <DIR> d--hs---- C:\WINDOWS\ftpcache
2006-11-13 18:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2006-11-12 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Macromedia
2006-11-12 19:47 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\vlc
2006-11-12 19:46 <DIR> d-------- C:\Programme\VideoLAN
2006-11-12 19:39 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Mozilla
2006-11-12 19:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\SendTo
2006-11-12 19:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\.
2006-11-12 19:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten
2006-11-12 19:32 <DIR> dr------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Startmen�
2006-11-12 19:32 <DIR> dr------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Favoriten
2006-11-12 19:32 <DIR> dr------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Eigene Dateien
2006-11-12 19:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Vorlagen
2006-11-12 19:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Netzwerkumgebung
2006-11-12 19:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Lokale Einstellungen
2006-11-12 19:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Druckumgebung
2006-11-12 19:32 <DIR> d---s---- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Cookies
2006-11-12 19:32 <DIR> d---s---- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Microsoft
2006-11-12 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Desktop
2006-11-12 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\Identities
2006-11-12 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\Anwendungsdaten\..
2006-11-12 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\..
2006-11-12 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.RIFLERIPPER\.


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-08 18:49 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-07 20:19 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-07 18:11 4385 --a------ C:\WINDOWS\system32\drivers\Stdsys.SYS
2006-12-05 18:30 -------- d-------- C:\Programme\VR-NetWorld
2006-12-05 15:36 -------- d-------- C:\Programme\Java
2006-11-25 04:05 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-11-13 20:57 -------- d-------- C:\Programme\WinRAR
2006-10-16 14:27 729088 --a------ C:\WINDOWS\iun6002.exe
2006-10-14 00:23 -------- d-------- C:\Programme\Electronic Arts


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"CoolSwitch"="C:\\WINDOWS\\system32\\taskswitch.exe"
"CTHelper"="CTHELPER.EXE"
"AsioReg"="REGSVR32.EXE /S CTASIO.DLL"
"CTSysVol"="C:\\Programme\\Creative\\SBAudigy2ZS\\Surround Mixer\\CTSysVol.exe /r"
"New.net Startup"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~2.DLL,ClientStartup -s"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"ICQ Lite"="\"C:\\Tobi's Programme\\ICQ\\ICQ 5.04\\ICQLite\\ICQLite.exe\" -minimize"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"AceGain LiveUpdate"="D:\\AceGain\\LiveUpdate\\LiveUpdate.exe"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe"
"brwdiag"="C:\\WINDOWS\\system32\\brwconf.exe"
"Security"="C:\\WINDOWS\\WindowsSecurityUpdate.exe"
"BDMCon"="\"C:\\Programme\\Softwin\\BitDefender8\\bdmcon.exe\""
"BDNewsAgent"="\"C:\\Programme\\Softwin\\BitDefender8\\bdnagent.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,d2,03,00,00,23,00,00,00,1c,01,00,00,27,01,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{9d635a36-6b3c-4146-8625-f3aaf507bbf8}"="flammei"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:80,00,00,00
"ForceClassicControlPanel"=dword:00000001
"NoDriveAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00
"NoInternetOpenWith"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Video ActiveX Object\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000080
"ForceClassicControlPanel"=dword:00000001
"NoDriveAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000080
"ForceClassicControlPanel"=dword:00000001
"NoDriveAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"flammei"="{9d635a36-6b3c-4146-8625-f3aaf507bbf8}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat Speed Launcher.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Acrobat Speed Launcher.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{AC76BA86-1033-F400-7760-000000000002}\\SC_Acrobat.exe "
"item"="Adobe Acrobat Speed Launcher"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\TOBI'S~1\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VR-NetWorld Auftragsprüfung.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\VR-NetWorld Auftragsprüfung.lnk"
"backup"="C:\\WINDOWS\\pss\\VR-NetWorld Auftragsprüfung.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\VR-NET~1\\VRTOOL~1.EXE /autostart"
"item"="VR-NetWorld Auftragsprüfung"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Christoph^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Christoph\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Acrotray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Tobi's Programme\\ICQ\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SB Audigy 2 Startup Menu]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ChkColor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Creative\\SBAudigy2ZS\\Program\\Startup Menu\\ChkColor.EXE\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBDrvDet]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SBDrvDet"
"hkey"="HKLM"
"command"="C:\\Programme\\Creative\\SB Drive Det\\SBDrvDet.exe /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UpdReg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\UpdReg.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
"item"="VCDDaemon"
"hkey"="HKEY_LOCAL_MACHINE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sbeddem

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-08 23:04:52.50
C:\ComboFix.txt ... 06-12-08 23:04

#9 CWempe

der rechner ist total verseucht - um das reinigen zu koennen:

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 angel0190

arbeite das avenger script und smitfraudfix ab
http://virus-protect.org/artikel/spyware/videoactivexobject.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 So, hier ist mein scanreport. Ich hoffe er bringt ein wenig Licht ins Dunkel!

cureit.exe;C:\DOKUME~1\SONJA~1.SON\LOKALE~1\Temp\RarSFX1;Win32.Virut - Fehler beim Speichern;;
ARPPRODUCTICON.exe;C:\Dokumente und Einstellungen\Sonja.SONYMATOR\Anwendungsdaten\Microsoft\Installer\{738179D8-3D76-4AFF-A7BE-AEF3B4370CB4};Win32.Virut;Desinfiziert.;
cureit.exe.delete_on_reboot;C:\Dokumente und Einstellungen\Sonja.SONYMATOR\Lokale Einstellungen\Temp\RarSFX1;Win32.Virut;Wird nach dem Neustart desinfiziert.;
_start.exe;C:\Dokumente und Einstellungen\Sonja.SONYMATOR\Lokale Einstellungen\Temp\RarSFX1;Win32.Virut;Wird nach dem Neustart desinfiziert.;
dr[1].gif;C:\Dokumente und Einstellungen\Sonja.SONYMATOR\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7D7MH4RD;Trojan.StartPage.1694;Gelöscht.;
ahv.exe;C:\Programme\Adobe\Adobe Help Viewer\1.0;Win32.Virut;Desinfiziert.;
Opera.exe;C:\Programme\Opera;Win32.Virut;Desinfiziert.;
netscape.exe;C:\Programme\Opera\program;Win32.Virut;Desinfiziert.;
A0006100.exe;C:\System Volume Information\_restore{053E9726-F51C-4BAB-A6E6-7353B137B3E0}\RP11;Win32.Virut;Desinfiziert.;
A0006107.exe;C:\System Volume Information\_restore{053E9726-F51C-4BAB-A6E6-7353B137B3E0}\RP11;Win32.Virut;Desinfiziert.;
A0006108.exe;C:\System Volume Information\_restore{053E9726-F51C-4BAB-A6E6-7353B137B3E0}\RP11;Win32.Virut;Desinfiziert.;

#12 spanky

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
scanne noch mal mit dr.web und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Dr. Web: "Keine Viren gefunden."

Bedeutet das, dass die Suche jetzt erst richtig losgehen wird oder dass der Virus wirklich entfernt worden ist? Ich hoffe doch sehr fürs Zweite...!

#14 spanky

ich nehme an, dass der virut-Virus geloescht ist - dennoch mache einen Onlinescan mit Kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\SONJA~1.SON\LOKALE~1\Temp\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 17232
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:23:08

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

C:\DOKUME~1\SONJA~1.SON\LOKALE~1\Temp\Perflib_Perfdata_3dc.dat Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.