VirusBusters, gefakte Virenwarnungen

#1 Hi, ich hab mir da auch irgendetwas eingefangen. Ich bekomm ständig Virenwarnungen, die mich dann auf Seiten zum Download von Antivirussoftware leiten.
In der Symbolleiste ist zur Zeit ein schwarzes Ausrufezeichen auf einem gelben Dreieck, welche sich regelmäßig in eine kleine Bombe verwandelt. Außerdem geht der Browser oft einfach so auf und läd die Seiten von der Antivirussoftware. Ich hab die Logs, wie in der Anleitung beschrieben, erstellt:

Hijackthis-Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 12:00:33, on 15.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\ISHOST.EXE
C:\WINDOWS\system32\issearch.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Works\wkswp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme\Microsoft Works\wkgdcach.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\name\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Safety Bar - {18668683-731c-48fa-b1b9-ad013748fb00} - C:\Programme\Safety Bar\SafetyBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Reminder] C:\Windows\CREATOR\Remind_XP.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\cwfsoopt.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {17D0C64A-5283-4125-8256-105694C274ED} (MozillaPluginHostCtrl Class) - http://www.uniklinik-saarland.de/med_fak/anatomie/bock/activex/spx33.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center-Dienst (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Combofix:


name - 06-12-15 14:26:06,00 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\name\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ixt0.dll
C:\Programme\Safety Bar
C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-11-15 to 2006-12-15 ))))))))))))))))))))))))))))))))))


2006-12-15 12:03 <DIR> d-------- C:\Programme\CleanUp!
2006-12-15 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Template
2006-12-15 04:02 118,804 --a------ C:\WINDOWS\system32\cwfsoopt.dll
2006-12-14 18:15 19,456 --a------ C:\WINDOWS\system32\olnohdw.dll
2006-12-13 02:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-12-13 02:20 <DIR> d-------- C:\Programme\Mozilla Firefox
2006-12-13 02:20 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla
2006-12-13 02:18 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Real
2006-12-13 02:16 <DIR> d-------- C:\Meine Downloads
2006-12-12 19:32 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-12-12 19:32 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2006-12-12 19:32 <DIR> d-------- C:\Programme\Zone Labs
2006-12-12 19:31 <DIR> d-------- C:\WINDOWS\Internet Logs
2006-12-12 18:37 602,852 ---hs---- C:\WINDOWS\system32\mlnmp.bak2
2006-12-12 18:37 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2006-12-12 14:02 599,574 ---hs---- C:\WINDOWS\system32\mlnmp.ini2
2006-12-12 12:47 <DIR> d-------- C:\WINDOWS\WBEM
2006-12-12 12:47 <DIR> d-------- C:\WINDOWS\system32\de-de
2006-12-12 12:46 <DIR> d--h-c--- C:\WINDOWS\ie7
2006-12-12 12:45 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-12-12 12:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2006-12-12 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\AOL
2006-12-12 00:01 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Help
2006-12-12 00:00 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2006-12-12 00:00 8,552 --a------ C:\WINDOWS\system32\drivers\asctrm.sys
2006-12-12 00:00 173,184 --a------ C:\WINDOWS\system32\ygpss.scr
2006-12-12 00:00 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2006-12-12 00:00 <DIR> d-------- C:\WINDOWS\occache
2006-12-12 00:00 <DIR> d-------- C:\Programme\Viewpoint
2006-12-12 00:00 <DIR> d-------- C:\Programme\QuickTime
2006-12-12 00:00 <DIR> d-------- C:\Programme\Learn2.com
2006-12-12 00:00 <DIR> d-------- C:\My Music
2006-12-12 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\You've Got Pictures Screensaver
2006-12-12 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
2006-12-12 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2006-12-11 23:59 54,784 --a------ C:\WINDOWS\system32\Inetwh32.dll
2006-12-11 23:59 153,088 --a------ C:\WINDOWS\system32\jgdwmie.dll
2006-12-11 23:59 1,044,480 --a------ C:\WINDOWS\system32\roboex32.dll
2006-12-11 23:59 <DIR> d-------- C:\Programme\Real
2006-12-11 23:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2006-12-11 23:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\aolshare
2006-12-11 23:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\aol
2006-12-11 23:58 <DIR> d-------- C:\Programme\AOL 9.0
2006-12-11 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2006-12-11 19:42 26,496 --a------ C:\WINDOWS\system32\drivers\USBSTOR.SYS
2006-12-11 17:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NSV
2006-12-11 17:47 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-12-11 17:47 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-12-11 17:47 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-12-11 17:47 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-12-11 17:47 <DIR> d-------- C:\Programme\Winamp
2006-12-11 17:27 <DIR> d-------- C:\Programme\SopCast
2006-12-11 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\SopCast
2006-12-11 16:57 <DIR> d-------- C:\Programme\Azureus
2006-12-11 16:57 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Azureus
2006-12-01 23:24 <DIR> d-------- C:\Urban
2006-12-01 20:43 276,532 ---hs---- C:\WINDOWS\system32\pmnlm.dll
2006-12-01 20:38 19,456 --a------ C:\WINDOWS\system32\winvfv32.dll
2006-12-01 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3
2006-11-28 18:44 <DIR> d-------- C:\WINDOWS\Minidump
2006-11-28 13:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2006-11-26 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\name\Contacts
2006-11-26 20:03 <DIR> d-------- C:\Programme\MSN Messenger
2006-11-26 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\AdobeUM
2006-11-26 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Application Data
2006-11-26 02:42 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-11-26 02:41 <DIR> d-------- C:\NVIDIA
2006-11-25 22:54 <DIR> d-------- C:\Dokumente und Einstellungen\name\Anwendungsdaten\Logitech
2006-11-25 22:52 71,936 --a------ C:\WINDOWS\system32\drivers\LMOUKE.sys
2006-11-25 22:52 55,936 --a------ C:\WINDOWS\system32\drivers\L8042MOU.SYS
2006-11-25 22:51 13,568 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.sys


*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"hpWirelessAssistant"="C:\\Programme\\hpq\\HP Wireless Assistant\\HP Wireless Assistant.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"nwiz"="nwiz.exe /installquiet /nodetect"
"MsmqIntCert"="regsvr32 /s mqrt.dll"
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe"
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"QPService"="\"C:\\Programme\\HP\\QuickPlay\\QPService.exe\""
"HP Software Update"="C:\\Programme\\Hp\\HP Software Update\\HPWuSchd2.exe"
"QlbCtrl"=hex(2):25,50,72,6f,67,72,61,6d,46,69,6c,65,73,25,5c,48,65,77,6c,65,\
74,74,2d,50,61,63,6b,61,72,64,5c,48,50,20,51,75,69,63,6b,20,4c,61,75,6e,63,\
68,20,42,75,74,74,6f,6e,73,5c,51,6c,62,43,74,72,6c,2e,65,78,65,20,2f,53,74,\
61,72,74,00
"Cpqset"="C:\\Programme\\Hewlett-Packard\\Default Settings\\cpqset.exe"
"RecGuard"="C:\\Windows\\SMINST\\RecGuard.exe"
"Reminder"="C:\\Windows\\CREATOR\\Remind_XP.exe"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033 -noicon"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"DllRunning"="rundll32.exe \"C:\\WINDOWS\\system32\\cwfsoopt.dll\",setvm"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,20,01,00,00,00,00,00,00,80,04,00,00,66,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{5f938c17-fbc7-4a3c-8526-85e5b1a1f762}"="astral"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ISHOST.EXE"="ISHOST.EXE"
"kernel32.dll"="C:\\WINDOWS\\system32\\isnotify.exe"
"issearch.exe"="issearch.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winvfv32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Einfache Internetanmeldung.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systempr�fung ausf�hren - name.job

Completion time: 06-12-15 14:27:08.64
C:\ComboFix.txt ... 06-12-15 14:27



Datfind.bat:


system32:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\system32

15.12.2006 14:35 603.340 mlnmp.ini
15.12.2006 14:25 391.404 perfh009.dat
15.12.2006 14:25 56.056 perfc009.dat
15.12.2006 14:25 404.520 perfh007.dat
15.12.2006 14:25 67.502 perfc007.dat
15.12.2006 14:25 928.526 PerfStringBackup.INI
15.12.2006 14:22 37.799 tpoosfwc.ini
15.12.2006 14:21 51.048 nvapps.xml
15.12.2006 14:21 54.112 vsconfig.xml
15.12.2006 04:02 118.804 cwfsoopt.dll
15.12.2006 04:02 602.852 mlnmp.bak2
14.12.2006 18:52 143 mcrh.tmp
14.12.2006 18:15 19.456 olnohdw.dll
14.12.2006 18:15 4.286 ot.ico
14.12.2006 18:15 4.286 ts.ico
13.12.2006 02:21 185.952 rmoc3260.dll
13.12.2006 02:20 5.632 pndx5032.dll
13.12.2006 02:20 6.656 pndx5016.dll
12.12.2006 19:36 599.574 mlnmp.ini2
12.12.2006 19:34 4.212 zllictbl.dat
12.12.2006 12:46 1.158 wpa.dbl
12.12.2006 00:00 2.780 qtplugin.log
11.12.2006 23:59 278.528 pncrt.dll
01.12.2006 20:45 48.768 S32EVNT1.DLL
01.12.2006 20:43 276.532 pmnlm.dll
01.12.2006 20:38 19.456 winvfv32.dll
01.12.2006 18:31 43.520 CmdLineExt03.dll
26.11.2006 13:49 664 d3d9caps.dat


systemtemp:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp



windows:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS

15.12.2006 14:28 1.311.282 WindowsUpdate.log
15.12.2006 14:22 3.004 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
15.12.2006 14:21 0 0.log
15.12.2006 14:21 159 wiadebug.log
15.12.2006 14:21 50 wiaservc.log
15.12.2006 14:20 2.048 bootstat.dat
15.12.2006 12:19 18.894 SchedLgU.Txt
15.12.2006 11:48 3.053 KB923694.log
15.12.2006 11:47 413.898 setupapi.log
15.12.2006 04:11 54.156 QTFont.qfn
13.12.2006 10:26 1.409 QTFont.for
13.12.2006 02:56 942 orun32.ini
13.12.2006 02:20 3.373 mozver.dat
12.12.2006 12:53 15.648 spupdsvc.log
12.12.2006 12:47 15.624 ie7_main.log
12.12.2006 12:47 35.927 ehOCGen.log
12.12.2006 12:47 101.244 MedCtrOC.log
12.12.2006 12:47 730.680 iis6.log
12.12.2006 12:47 129.525 ntdtcsetup.log
12.12.2006 12:47 215.021 comsetup.log
12.12.2006 12:47 288.909 tsoc.log
12.12.2006 12:47 31.150 tabletoc.log
12.12.2006 12:47 1.393 imsins.log
12.12.2006 12:47 34.260 ocmsn.log
12.12.2006 12:47 45.098 ie7.log
12.12.2006 12:47 306.090 ocgen.log
12.12.2006 12:47 73.458 plusoc.log
12.12.2006 12:47 122.084 netfxocm.log
12.12.2006 12:47 31.103 msgsocm.log
12.12.2006 12:47 609.999 FaxSetup.log
12.12.2006 12:47 187.212 msmqinst.log
12.12.2006 12:47 42.464 updspapi.log


Verzeichnis von C:\WINDOWS\Temp

15.12.2006 14:28 0 win1C.tmp
15.12.2006 14:20 256 ZLT05489.TMP
15.12.2006 14:20 256 ZLT045f2.TMP
3 Datei(en) 512 Bytes
0 Verzeichnis(se), 81.573.109.760 Bytes frei



down:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

29.06.2006 10:12 65 desktop.ini
27.07.2004 23:48 323.584 isusweb.dll
21.05.2003 13:44 607 spx33.inf
26.07.2002 01:13 24.576 dwusplay.dll
26.07.2002 01:13 196.608 dwusplay.exe
5 Datei(en) 545.440 Bytes
0 Verzeichnis(se), 81.573.109.760 Bytes frei



C:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\

15.12.2006 14:42 0 sys.txt
15.12.2006 14:42 485 down.txt
15.12.2006 14:41 367 tmp.txt
15.12.2006 14:40 11.362 system.txt
15.12.2006 14:39 129 systemtemp.txt
15.12.2006 14:35 106.914 system32.txt
15.12.2006 14:27 20.502 ComboFix.txt
15.12.2006 14:22 1.846 hpqp.ini
15.12.2006 14:22 40 XP_TV.ini
15.12.2006 14:20 2.146.021.376 hiberfil.sys
15.12.2006 14:20 2.145.386.496 pagefile.sys
14.12.2006 20:56 268 sqmdata00.sqm
14.12.2006 20:56 244 sqmnoopt00.sqm
12.12.2006 00:00 882 IPH.PH
24.11.2006 12:09 0 IO.SYS
24.11.2006 12:09 0 MSDOS.SYS
23.11.2006 22:04 209 boot.ini
25.03.2006 05:00 4.952 bootfont.bin
25.03.2006 05:00 251.184 ntldr
25.03.2006 05:00 47.564 ntdetect.com
20 Datei(en) 4.291.854.820 Bytes
0 Verzeichnis(se), 81.573.101.568 Bytes frei



So, ich hoffe, ich hab alles notwendige gepostet.
Schonmal vielen Dank im Voraus, ist echt lieb von euch.
Schönen Tag noch....

Virushasser

#2 Virushasser

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\LogFiles" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

--------------------------------------------------------------------------

»»
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

»»
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|astral
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{5f938c17-fbc7-4a3c-8526-85e5b1a1f762}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|DllRunning
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{18668683-731c-48fa-b1b9-ad013748fb00}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|ISHOST.EXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|issearch.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|kernel32.dll

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{18668683-731c-48fa-b1b9-ad013748fb00}
HKLM\SOFTWARE\Classes\CLSID\{5f938c17-fbc7-4a3c-8526-85e5b1a1f762}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winvfv32

Files to delete:
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\tpoosfwc.ini
C:\WINDOWS\system32\cwfsoopt.dll
C:\WINDOWS\system32\mlnmp.bak2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\olnohdw.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mlnmp.ini2
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\winvfv32.dll
C:\WINDOWS\Temp\win1C.tmp
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

---------------------------------------------

»»
scanne und poste den scanreport hier
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

vielen Dank für die schnelle Hilfe. Ich hab alles so gemacht, wie du es beschrieben hast und es scheint alles wieder normal zu funktionieren. Vielen, vielen Dank!!!
Wie kann ich mich denn zukünftig besser vor den Viren schützen?
Hier nochmal die Logs:

Listen.bat:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\system32\LogFiles

12.12.2006 18:37 <DIR> .
12.12.2006 18:37 <DIR> ..
12.12.2006 18:37 <DIR> HTTPERR
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 81.490.128.896 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\Windows\System32\Com

24.11.2006 14:35 <DIR> .
24.11.2006 14:35 <DIR> ..
26.07.2005 05:39 195.072 comadmin.dll
25.03.2006 05:00 61.440 comempty.dat
25.03.2006 05:00 77.348 comexp.msc
25.03.2006 05:00 9.728 comrepl.exe
25.03.2006 05:00 5.120 comrereg.exe
25.03.2006 05:00 19.456 mtsadmin.tlb
6 Datei(en) 368.164 Bytes
2 Verzeichnis(se), 81.490.124.800 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\Windows\system32\config

12.12.2006 12:47 <DIR> .
12.12.2006 12:47 <DIR> ..
15.12.2006 16:34 524.288 AppEvent.Evt
15.12.2006 16:34 262.144 default
29.06.2006 12:00 94.208 default.sav
12.12.2006 12:52 65.536 Internet.evt
29.06.2006 10:09 65.536 Media Ce.evt
15.12.2006 16:34 262.144 SAM
23.11.2006 16:21 65.536 SecEvent.Evt
15.12.2006 16:34 262.144 SECURITY
15.12.2006 16:34 23.592.960 software
29.06.2006 12:00 663.552 software.sav
15.12.2006 16:34 524.288 SysEvent.Evt
15.12.2006 16:35 4.980.736 system
23.11.2006 22:05 <DIR> systemprofile
29.06.2006 12:00 262.144 userdiff
13 Datei(en) 31.625.216 Bytes
3 Verzeichnis(se), 81.490.124.800 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\Programme

15.12.2006 14:26 <DIR> .
15.12.2006 14:26 <DIR> ..
17.09.2006 16:23 <DIR> Adobe
24.11.2006 20:26 <DIR> Alcohol Soft
12.12.2006 00:01 <DIR> AOL 9.0
11.12.2006 16:57 <DIR> Azureus
15.12.2006 12:03 <DIR> CleanUp!
17.09.2006 23:50 <DIR> ComPlus Applications
17.09.2006 16:29 <DIR> CONEXANT
23.11.2006 17:28 <DIR> DAEMON Tools
13.12.2006 02:21 <DIR> Gemeinsame Dateien
17.09.2006 16:18 <DIR> GemMasterGerman
17.09.2006 16:17 <DIR> GermanOtto
13.12.2006 02:20 <DIR> Google
17.09.2006 16:51 <DIR> Hewlett-Packard
17.09.2006 16:27 <DIR> HP
23.11.2006 21:57 <DIR> HPQ
12.12.2006 12:53 <DIR> Internet Explorer
24.11.2006 03:56 <DIR> Java
12.12.2006 00:00 <DIR> Learn2.com
24.11.2006 14:36 <DIR> Messenger
17.09.2006 23:50 <DIR> microsoft frontpage
17.09.2006 16:20 <DIR> Microsoft Office
17.09.2006 16:20 <DIR> Microsoft Works
17.09.2006 23:50 <DIR> Movie Maker
15.12.2006 17:26 <DIR> Mozilla Firefox
23.11.2006 16:20 <DIR> MSN
17.09.2006 23:50 <DIR> MSN Gaming Zone
26.11.2006 20:03 <DIR> MSN Messenger
24.11.2006 14:34 <DIR> MSXML 4.0
17.09.2006 23:50 <DIR> NetMeeting
17.09.2006 16:29 <DIR> NetWaiting
12.12.2006 18:52 <DIR> Norton Internet Security
17.09.2006 23:50 <DIR> Online Services
17.09.2006 16:29 <DIR> Online-Dienste
24.11.2006 14:32 <DIR> Outlook Express
12.12.2006 00:00 <DIR> QuickTime
11.12.2006 23:59 <DIR> Real
25.11.2006 16:56 <DIR> Skype
17.09.2006 23:50 <DIR> Sonic
11.12.2006 17:27 <DIR> SopCast
01.12.2006 20:45 <DIR> Symantec
17.09.2006 16:21 <DIR> Synaptics
24.11.2006 12:15 <DIR> Urban & Fischer
12.12.2006 00:00 <DIR> Viewpoint
23.11.2006 22:09 <DIR> WIDCOMM
11.12.2006 17:53 <DIR> Winamp
17.09.2006 16:30 <DIR> Windows Media Connect 2
17.09.2006 23:50 <DIR> Windows Media Player
17.09.2006 23:50 <DIR> Windows NT
17.09.2006 23:50 <DIR> Windows Plus
23.11.2006 17:23 <DIR> WinRAR
17.09.2006 23:50 <DIR> xerox
25.11.2006 03:16 <DIR> Xvid
12.12.2006 19:32 <DIR> Zone Labs
0 Datei(en) 0 Bytes
55 Verzeichnis(se), 81.490.120.704 Bytes frei




Avenger:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kolgxamb

*******************

Script file located at: \??\C:\WINDOWS\system32\ximevoke.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\mlnmp.ini not found!
Deletion of file C:\WINDOWS\system32\mlnmp.ini failed!

Could not process line:
C:\WINDOWS\system32\mlnmp.ini
Status: 0xc0000034

File C:\WINDOWS\system32\tpoosfwc.ini deleted successfully.
File C:\WINDOWS\system32\cwfsoopt.dll deleted successfully.


File C:\WINDOWS\system32\mlnmp.bak2 not found!
Deletion of file C:\WINDOWS\system32\mlnmp.bak2 failed!

Could not process line:
C:\WINDOWS\system32\mlnmp.bak2
Status: 0xc0000034

File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\olnohdw.dll deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.


File C:\WINDOWS\system32\mlnmp.ini2 not found!
Deletion of file C:\WINDOWS\system32\mlnmp.ini2 failed!

Could not process line:
C:\WINDOWS\system32\mlnmp.ini2
Status: 0xc0000034



File C:\WINDOWS\system32\pmnlm.dll not found!
Deletion of file C:\WINDOWS\system32\pmnlm.dll failed!

Could not process line:
C:\WINDOWS\system32\pmnlm.dll
Status: 0xc0000034



File C:\WINDOWS\system32\winvfv32.dll not found!
Deletion of file C:\WINDOWS\system32\winvfv32.dll failed!

Could not process line:
C:\WINDOWS\system32\winvfv32.dll
Status: 0xc0000034

File C:\WINDOWS\Temp\win1C.tmp deleted successfully.


File C:\Dokumente und Einstellungen\name\Favoriten\Antivirus Test Online.url not found!
Deletion of file C:\Dokumente und Einstellungen\name\Favoriten\Antivirus Test Online.url failed!

Could not process line:
C:\Dokumente und Einstellungen\name\Favoriten\Antivirus Test Online.url
Status: 0xc0000034

File C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url deleted successfully.


Could not delete registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|astral
Deletion of registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|astral failed!
Status: 0xc0000034

Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{5f938c17-fbc7-4a3c-8526-85e5b1a1f762} deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|DllRunning deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{18668683-731c-48fa-b1b9-ad013748fb00} deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|ISHOST.EXE deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|issearch.exe deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|kernel32.dll deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{18668683-731c-48fa-b1b9-ad013748fb00} deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{5f938c17-fbc7-4a3c-8526-85e5b1a1f762} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlm not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlm failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winvfv32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winvfv32 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.




SmitfraudFix:




SmitFraudFix v2.130

Scan done at 18:10:23,70, 15.12.2006
Run from C:\Dokumente und Einstellungen\name\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\name


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\name\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\THOMAS~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End






SmitFraudFix v2.130

Scan done at 18:17:19,17, 15.12.2006
Run from C:\Dokumente und Einstellungen\name\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




SUPERAntiSpyware:


SUPERAntiSpyware Scan Log
Generated 12/15/2006 at 06:53 PM

Application Version : 3.3.1020

Core Rules Database Version : 3148
Trace Rules Database Version: 1164

Scan type : Complete Scan
Total Scan Time : 00:24:46

Memory items scanned : 564
Memory Thread detected : 0
Registry items scanned : 5807
Registry Thread detected : 12
File items scanned : 35154
File Thread detected : 11

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\name\Cookies\name@mediaplex[1].txt
C:\Dokumente und Einstellungen\name\Cookies\name@stats1.reliablestats[2].txt
C:\Dokumente und Einstellungen\name\Cookies\name@winantivirus[1].txt
C:\Dokumente und Einstellungen\name\Cookies\name@amaena[2].txt
C:\Dokumente und Einstellungen\name\Cookies\name@de.winantivirus[2].txt
C:\Dokumente und Einstellungen\name\Cookies\name@www.amaena[1].txt
C:\Dokumente und Einstellungen\name\Cookies\name@indexstats[2].txt
C:\Dokumente und Einstellungen\name\Cookies\name@www.winantivirus[1].txt

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
HKLM\SOFTWARE\Microsoft\MSSMGR#LID

Malware.Safety Bar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar#UninstallString

Malware.VirusBurst
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alert 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alert 2006#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Alert 2006#UninstallString

Trojan.Downloader-SSQ
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP18\A0005146.DLL

Trojan.Downloader-DRVSAM
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP24\A0005713.DLL

Malware.VirusBurster-Install
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP25\A0007329.EXE

Also, vielen Dank nochmal für deine Hilfe und schönen Abend noch...

Virushasser

#4 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\LogFiles\HTTPERR" >>files.txt
notepad files.txt

+
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Kann man das allgemein so anwenden oder ist das spezifisch für jeden user ?????

#6 Toni2007

das ist fuer jeden User spezifisch gedacht, die verseuchungen sind immer andere
__________
MfG Sabina

rund um die PC-Sicherheit

#7 bitte bitte helf mir ....

#8 ich habe dir eben in deinem Thread geantwortet
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabine, hier nochmal die Logs:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\system32\LogFiles\HTTPERR

12.12.2006 18:37 <DIR> .
12.12.2006 18:37 <DIR> ..
12.12.2006 18:37 326 httperr1.log
1 Datei(en) 326 Bytes
2 Verzeichnis(se), 81.423.466.496 Bytes frei



System32:



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\system32

16.12.2006 09:50 391.404 perfh009.dat
16.12.2006 09:50 56.056 perfc009.dat
16.12.2006 09:50 404.520 perfh007.dat
16.12.2006 09:50 67.502 perfc007.dat
16.12.2006 09:50 928.526 PerfStringBackup.INI
16.12.2006 09:47 51.048 nvapps.xml
16.12.2006 09:46 54.112 vsconfig.xml
15.12.2006 18:32 0 CMMGR32.EXE
15.12.2006 18:17 0 tmp.txt
15.12.2006 18:17 4.314 tmp.reg
13.12.2006 02:21 185.952 rmoc3260.dll
13.12.2006 02:20 5.632 pndx5032.dll
13.12.2006 02:20 6.656 pndx5016.dll
12.12.2006 19:34 4.212 zllictbl.dat
12.12.2006 12:46 1.158 wpa.dbl
12.12.2006 00:00 2.780 qtplugin.log
11.12.2006 23:59 278.528 pncrt.dll



Systemtemp:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp

16.12.2006 09:52 861 jusched.log
16.12.2006 00:33 426 Acr10.tmp
2 Datei(en) 1.287 Bytes
0 Verzeichnis(se), 81.421.402.112 Bytes frei


Windows:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS

16.12.2006 09:47 4.582 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
16.12.2006 09:46 0 0.log
16.12.2006 09:46 1.453.690 WindowsUpdate.log
16.12.2006 09:46 159 wiadebug.log
16.12.2006 09:46 50 wiaservc.log
16.12.2006 09:46 2.048 bootstat.dat
16.12.2006 00:55 21.362 SchedLgU.Txt
16.12.2006 00:54 478.360 setupapi.log
15.12.2006 20:58 4.011 mozver.dat
15.12.2006 19:41 54.156 QTFont.qfn
15.12.2006 19:17 37.617 ehOCGen.log
15.12.2006 19:17 103.394 MedCtrOC.log
15.12.2006 19:17 764.712 iis6.log
15.12.2006 19:17 225.310 comsetup.log
15.12.2006 19:17 135.752 ntdtcsetup.log
15.12.2006 19:17 1.393 imsins.log
15.12.2006 19:17 303.014 tsoc.log
15.12.2006 19:17 10.827 KB925398.log
15.12.2006 19:17 35.970 ocmsn.log
15.12.2006 19:17 32.705 tabletoc.log
15.12.2006 19:17 320.670 ocgen.log
15.12.2006 19:17 127.499 netfxocm.log
15.12.2006 19:17 76.903 plusoc.log
15.12.2006 19:17 32.648 msgsocm.log



Temp:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\Temp

16.12.2006 09:46 256 ZLT041e8.TMP
16.12.2006 09:46 256 ZLT041e5.TMP
15.12.2006 18:02 256 ZLT05608.TMP
15.12.2006 18:02 256 ZLT06f6c.TMP
15.12.2006 17:50 256 ZLT01c47.TMP
15.12.2006 17:50 256 ZLT0661d.TMP
15.12.2006 17:31 0 win1A.tmp
15.12.2006 17:09 0 win16.tmp
15.12.2006 16:47 0 win9.tmp
15.12.2006 16:45 0 win8.tmp
15.12.2006 16:43 0 win7.tmp
15.12.2006 16:41 0 win6.tmp
15.12.2006 16:39 0 win5.tmp
15.12.2006 16:35 256 ZLT02d21.TMP
15.12.2006 16:35 256 ZLT02d1e.TMP
15.12.2006 16:24 0 win88.tmp
15.12.2006 16:24 0 win87.tmp
15.12.2006 16:24 0 win86.tmp
15.12.2006 16:24 0 win85.tmp
15.12.2006 16:18 0 win84.tmp
15.12.2006 15:56 0 win83.tmp
15.12.2006 15:34 0 win82.tmp
15.12.2006 15:12 0 win7C.tmp
15.12.2006 14:50 0 win64.tmp
24 Datei(en) 2.048 Bytes
0 Verzeichnis(se), 81.419.730.944 Bytes frei

Down:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

29.06.2006 10:12 65 desktop.ini
27.07.2004 23:48 323.584 isusweb.dll
29.05.2003 15:00 84.064 minesweeper.dll
29.05.2003 15:00 160.864 messengerstatsclient.dll
29.05.2003 15:00 77.408 msgrchkr.dll
21.05.2003 13:44 607 spx33.inf
26.07.2002 01:13 24.576 dwusplay.dll
26.07.2002 01:13 196.608 dwusplay.exe
8 Datei(en) 867.776 Bytes
0 Verzeichnis(se), 81.419.681.792 Bytes frei

C:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7A6A-1F9E

Verzeichnis von C:\

16.12.2006 10:10 0 sys.txt
16.12.2006 10:10 650 down.txt
16.12.2006 10:09 1.367 tmp.txt
16.12.2006 10:07 11.708 system.txt
16.12.2006 10:06 335 systemtemp.txt
16.12.2006 10:05 106.821 system32.txt
16.12.2006 09:47 1.846 hpqp.ini
16.12.2006 09:47 40 XP_TV.ini
16.12.2006 09:45 2.146.021.376 hiberfil.sys
16.12.2006 09:45 2.145.386.496 pagefile.sys
14.12.2006 20:56 244 sqmnoopt00.sqm
14.12.2006 20:56 268 sqmdata00.sqm
12.12.2006 00:00 882 IPH.PH
24.11.2006 12:09 0 MSDOS.SYS
24.11.2006 12:09 0 IO.SYS
23.11.2006 22:04 209 boot.ini



So, hier nochmals die Logs, vielen Dank und schönes Wochenende noch... :-)

Virushasser

#10 Virushasser

Avenger

Zitat

Files to delete:
C:\WINDOWS\Temp\win1A.tmp
C:\WINDOWS\Temp\win16.tmp
C:\WINDOWS\Temp\win9.tmp
C:\WINDOWS\Temp\win8.tmp
C:\WINDOWS\Temp\win7.tmp
C:\WINDOWS\Temp\win6.tmp
C:\WINDOWS\Temp\win5.tmp
C:\WINDOWS\Temp\win88.tmp
C:\WINDOWS\Temp\win87.tmp
C:\WINDOWS\Temp\win86.tmp
C:\WINDOWS\Temp\win85.tmp
C:\WINDOWS\Temp\win84.tmp
C:\WINDOWS\Temp\win83.tmp
C:\WINDOWS\Temp\win82.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\Acr10.tmp
C:\WINDOWS\Temp\win7C.tmp
C:\WINDOWS\Temp\win64.tmp

2.
wende Cleanup an
http://virus-protect.org/cleanup.html

»»
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina,

hier die Files:

Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dndklqrx

*******************

Script file located at: \??\C:\sapqtndx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Temp\win1A.tmp deleted successfully.
File C:\WINDOWS\Temp\win16.tmp deleted successfully.
File C:\WINDOWS\Temp\win9.tmp deleted successfully.
File C:\WINDOWS\Temp\win8.tmp deleted successfully.
File C:\WINDOWS\Temp\win7.tmp deleted successfully.
File C:\WINDOWS\Temp\win6.tmp deleted successfully.
File C:\WINDOWS\Temp\win5.tmp deleted successfully.
File C:\WINDOWS\Temp\win88.tmp deleted successfully.
File C:\WINDOWS\Temp\win87.tmp deleted successfully.
File C:\WINDOWS\Temp\win86.tmp deleted successfully.
File C:\WINDOWS\Temp\win85.tmp deleted successfully.
File C:\WINDOWS\Temp\win84.tmp deleted successfully.
File C:\WINDOWS\Temp\win83.tmp deleted successfully.
File C:\WINDOWS\Temp\win82.tmp deleted successfully.


File C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Temp\Acr10.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Temp\Acr10.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Temp\Acr10.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\win7C.tmp deleted successfully.
File C:\WINDOWS\Temp\win64.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



und HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:01:57, on 16.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Symantec\LiveUpdate\AUpdate.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Dokumente und Einstellungen\name\Desktop\HijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Reminder] C:\Windows\CREATOR\Remind_XP.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17D0C64A-5283-4125-8256-105694C274ED} (MozillaPluginHostCtrl Class) - http://www.uniklinik-saarland.de/med_fak/anatomie/bock/activex/spx33.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center-Dienst (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Vielen Dank und einen schönen Abend noch...

Virushasser

#12 mache einen Onlinescan mit panda oder ewido und poste hier den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi Sabina,

hier der Report von Panda:


Incident Status Location

Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.atwola.com/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\name\Anwendungsdaten\Mozilla\Firefox\Profiles\8tr3rytp.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@2o7[1].txt
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@ad.yieldmanager[1].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@adtech[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@advertising[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@atdmt[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@atwola[2].txt
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@bs.serving-sys[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@mediaplex[2].txt
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\name\Cookies\name@serving-sys[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\name\Desktop\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\name\Desktop\SmitfraudFix\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe


So, ich wünsch dir noch nen schönen 3. Advent, vielen Dank...

Virushasser

#14 nur noch Cookies und der smitfraudfix als Proggie
es ist alles wieder i.o.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Vielen, Vielen Dank, Sabina,

du hast mir echt ein Stück weit Weihnachten gerettet ;-)
Also dann, noch ne schöne Woche und nochmals DANKE!!!

Virushasser