Netpumper geladen - Virus eingefangen -.-

#1 Moin,

Ich hab mir neulich, blöde wie ich bin mal den Netpumper geladen und promt schlug mein antivir alarm. Ich hab es zwar danach *sofort* entfernt, allerdings hab ich die vermutung, dass der Virus weiterhin auf der Platte ist.
Ich hab mich ein wenig schlau gemacht, und im Netpumper soll ja nun ein Trojaner versteckt sein, der Werbepopups einblendet, zwar blockt meine firewall diese fenster ab, sodass ich eigentlich nicht gestört werde, jedoch sehe ich im Task-Manager, dass sich zu jeder vollen stunde ein task namens KINDBO~1.exe startet und mehrere Internet Explorer offen sind.
Ich hab zwar schon mehrere Scanner rübergejagt, aber dennoch bin ich verunsichert, ob das mistvieh nicht doch noch irgendwo schlummert...


Hier mal mein HiJackThis-Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 03:19:11, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
E:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
e:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
E:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
E:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Dokumente und Einstellungen\Donnie Darko\Desktop\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - e:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - E:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe

Ich hab auch ein wenig hier im Forum gestöbert und bin dabei auf das hier gestossen:

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

also hab ich das gleich mal mitgemacht und bekomme folgendes:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7037-848D

Verzeichnis von C:\Programme

09.01.2007 02:40 <DIR> .
09.01.2007 02:40 <DIR> ..
05.12.2006 20:20 <DIR> ACD Systems
08.11.2006 18:22 <DIR> Adobe
05.01.2007 10:01 <DIR> AntiVir PersonalEdition Classic
07.01.2007 08:53 <DIR> CleanUp!
08.11.2006 03:48 <DIR> ComPlus Applications
27.12.2006 09:50 <DIR> Gemeinsame Dateien
09.01.2007 02:41 <DIR> Internet Explorer
04.01.2007 04:25 <DIR> Java
10.11.2006 08:48 <DIR> Lavalys
08.11.2006 15:42 <DIR> messenger
08.11.2006 03:52 <DIR> microsoft frontpage
12.11.2006 18:06 <DIR> Motherboard Monitor 5
08.11.2006 04:28 <DIR> Movie Maker
09.01.2007 03:19 <DIR> Mozilla Firefox
08.11.2006 03:48 <DIR> MSN
08.11.2006 03:48 <DIR> MSN Gaming Zone
09.01.2007 02:40 <DIR> MSXML 4.0
08.11.2006 04:27 <DIR> NetMeeting
08.11.2006 04:41 <DIR> NVIDIA Corporation
08.11.2006 03:48 <DIR> Online Services
08.11.2006 03:51 <DIR> Online-Dienste
09.01.2007 02:39 <DIR> Outlook Express
07.01.2007 00:52 <DIR> PacificPoker
07.01.2007 06:19 <DIR> Rdr heck
08.11.2006 18:47 <DIR> SiSoftware
20.12.2006 18:05 <DIR> Sony Ericsson
08.11.2006 15:29 <DIR> VideoLAN
17.12.2006 17:08 <DIR> Winamp
08.11.2006 19:17 <DIR> Windows Media Player
08.11.2006 04:27 <DIR> Windows NT
08.11.2006 15:29 <DIR> WinRAR
08.11.2006 03:52 <DIR> xerox
0 Datei(en) 0 Bytes
34 Verzeichnis(se), 8.330.510.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7037-848D

Verzeichnis von C:\Dokumente und Einstellungen\Donnie Darko\Lokale Einstellungen\Anwendungsdaten

08.11.2006 18:25 <DIR> Adobe
08.01.2007 22:44 59.904 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
07.01.2007 12:16 13.496 GDIPFONTCACHEV1.DAT
05.12.2006 17:15 <DIR> Identities
22.12.2006 22:14 <DIR> Microsoft
08.11.2006 04:53 <DIR> Mozilla
2 Datei(en) 73.400 Bytes
4 Verzeichnis(se), 8.330.510.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7037-848D

Verzeichnis von C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten

05.12.2006 20:21 <DIR> ACD Systems
08.11.2006 18:25 <DIR> Adobe
08.11.2006 18:25 <DIR> AdobeUM
08.11.2006 04:20 <DIR> Identities
08.11.2006 05:56 <DIR> Lavasoft
08.11.2006 05:07 <DIR> Macromedia
08.11.2006 15:38 <DIR> Media Player Classic
08.11.2006 04:53 <DIR> Mozilla
07.01.2007 06:19 <DIR> NetPumper
07.01.2007 12:20 <DIR> Rdr heck
03.12.2006 01:46 <DIR> Sun
08.11.2006 04:53 <DIR> Talkback
20.12.2006 18:14 <DIR> Teleca
10.11.2006 04:59 <DIR> vlc
0 Datei(en) 0 Bytes
14 Verzeichnis(se), 8.330.510.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7037-848D

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

05.12.2006 20:20 <DIR> ACD Systems
08.11.2006 04:59 305 addr_file.html
08.11.2006 18:24 <DIR> Adobe
20.12.2006 16:28 <DIR> AntiVir PersonalEdition Classic
20.12.2006 18:05 <DIR> Sony Ericsson
07.01.2007 10:14 <DIR> Spybot - Search & Destroy
20.12.2006 18:05 <DIR> Teleca
03.01.2007 22:33 <DIR> Visions
1 Datei(en) 305 Bytes
7 Verzeichnis(se), 8.330.510.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7037-848D

Verzeichnis von C:\Programme\Gemeinsame Dateien

27.12.2006 09:50 <DIR> .
27.12.2006 09:50 <DIR> ..
05.12.2006 20:20 <DIR> ACD Systems
08.11.2006 18:24 <DIR> Adobe
27.12.2006 09:50 <DIR> Ahead
08.11.2006 03:50 <DIR> Dienste
20.12.2006 18:04 <DIR> InstallShield
18.11.2006 20:48 <DIR> Java
08.11.2006 04:20 <DIR> Microsoft Shared
08.11.2006 03:49 <DIR> MSSoap
08.11.2006 04:41 <DIR> NVIDIA Shared
08.11.2006 03:44 <DIR> ODBC
08.11.2006 03:43 <DIR> SpeechEngines
09.01.2007 02:39 <DIR> System
20.12.2006 18:05 <DIR> Teleca Shared
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 8.330.506.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7037-848D

Verzeichnis von C:\Windows\tasks

Ich hoffe es war ok, dass ich nen neuen Thread gemacht habe und wäre sehr glücklich über eine Hilfestellung
Vielen Dank im voraus.

P.S.: ach ja, wie sieht das mit der Windows Systemwiederherstellung aus? muss ich die dafür deaktivieren? oder kann man dem Virus auch so zu leibe rücken?


Grüsse

Kalmah

#2 Kalmah

poste bitte noch dieses log, damit ich das avengerscript erstellen kann (es fehlen noch die tasks-daten)
http://virus-protect.org/artikel/tools/combofix.html

---------------------------------------------------------------------------
C:\Programme\Rdr heck
C:\Programme\PacificPoker
C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\Rdr heck
__________
MfG Sabina

rund um die PC-Sicherheit

#3 mist, doch noch was vergessen, dabei wollt ich doch so wenig arbeit wie möglich machen

also das hier spuckt das programm aus

Zitat

Donnie Darko - 07-01-09 12:00:31,50 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Donnie Darko\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-12-09 to 2007-01-09 ))))))))))))))))))))))))))))))))))


2007-01-09 02:40 <DIR> d-------- C:\Programme\MSXML 4.0
2007-01-08 08:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-01-07 12:51 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-01-07 12:05 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-01-07 09:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-01-07 08:53 <DIR> d-------- C:\Programme\CleanUp!
2007-01-07 06:19 <DIR> d-------- C:\Programme\Rdr heck
2007-01-07 06:19 <DIR> d-------- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\Rdr heck
2007-01-07 06:19 <DIR> d-------- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\NetPumper
2007-01-03 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Visions
2006-12-27 09:50 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2006-12-27 09:50 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2006-12-27 09:50 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2006-12-27 09:50 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2006-12-27 09:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2006-12-27 09:50 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2006-12-27 09:50 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2006-12-27 09:50 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2006-12-27 09:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-12-26 07:52 <DIR> d-------- C:\WINDOWS\Minidump
2006-12-20 18:25 90,800 -ra------ C:\WINDOWS\system32\drivers\se2Eunic.sys
2006-12-20 18:25 4,128 -ra------ C:\WINDOWS\system32\drivers\se2Ecr.sys
2006-12-20 18:21 88,688 -ra------ C:\WINDOWS\system32\drivers\SE2Emgmt.sys
2006-12-20 18:20 86,560 -ra------ C:\WINDOWS\system32\drivers\SE2Eobex.sys
2006-12-20 18:19 97,184 -ra------ C:\WINDOWS\system32\drivers\SE2Emdm.sys
2006-12-20 18:19 9,360 -ra------ C:\WINDOWS\system32\drivers\SE2Emdfl.sys
2006-12-20 18:19 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecmnt.sys
2006-12-20 18:19 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecm.sys
2006-12-20 18:14 61,600 -ra------ C:\WINDOWS\system32\drivers\SE2Ebus.sys
2006-12-20 18:14 5,872 -ra------ C:\WINDOWS\system32\drivers\SE2Ewhnt.sys
2006-12-20 18:14 5,872 -ra------ C:\WINDOWS\system32\drivers\se2Ewh.sys
2006-12-20 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\Teleca
2006-12-20 18:05 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2006-12-20 18:05 <DIR> d-------- C:\Programme\Sony Ericsson
2006-12-20 18:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-12-20 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2006-12-20 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2006-12-20 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2006-12-18 04:23 40,960 --a------ C:\WINDOWS\system32\MMAVILNG.exe
2006-12-18 04:22 56 -r-hs---- C:\WINDOWS\system32\14AE16AA56.sys
2006-12-18 04:22 1,890 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-09 07:09 -------- d-------- C:\Programme\Mozilla Firefox
2007-01-09 02:41 -------- d-------- C:\Programme\Internet Explorer
2007-01-09 02:39 -------- d-------- C:\Programme\Outlook Express
2007-01-09 02:39 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2007-01-07 00:52 -------- d-------- C:\Programme\PacificPoker
2007-01-05 10:01 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2007-01-04 04:25 -------- d-------- C:\Programme\Java
2006-12-27 09:50 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-20 18:04 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-12-17 17:08 -------- d-------- C:\Programme\Winamp
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-06 05:31 -------- d---s---- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\Microsoft
2006-12-05 20:21 -------- d-------- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\ACD Systems
2006-12-05 20:20 9856 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2006-12-05 20:20 -------- d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2006-12-05 20:20 -------- d-------- C:\Programme\ACD Systems
2006-12-03 01:46 -------- d-------- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\Sun
2006-11-18 20:48 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-11-12 18:06 -------- d-------- C:\Programme\Motherboard Monitor 5
2006-11-10 08:48 -------- d-------- C:\Programme\Lavalys
2006-11-10 04:59 -------- d-------- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\vlc
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-08 03:52 0 -rahs---- C:\MSDOS.SYS
2006-11-08 03:52 0 -rahs---- C:\IO.SYS
2006-11-08 03:52 0 --a------ C:\CONFIG.SYS
2006-11-08 03:52 0 --a------ C:\AUTOEXEC.BAT
2006-11-08 03:43 62 --ahs---- C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\desktop.ini
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="e:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"MBM 5"="\"C:\\Programme\\Motherboard Monitor 5\\MBM5.EXE\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"!AVG Anti-Spyware"="\"E:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\B1FB887498000270.job

Completion time: 07-01-09 12:02:48.32
C:\ComboFix.txt ... 07-01-09 12:02

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein (ohne "Zitat" )

Zitat

Files to delete:
C:\WINDOWS\tasks\B1FB887498000270.job

Folders to delete:
C:\Programme\Rdr heck
C:\Programme\PacificPoker
C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Donnie Darko\Anwendungsdaten\Rdr heck

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

»»
scanne mit counterspy und lasse den netpumper-Muell und alles andere loeschen - remove
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Der Virus is endlich gekillt

vielen vielen dank Sabina