Home » Spyware & Browser Hijacker Support Forum » Drivecleaner Problem » Themenansicht

Drivecleaner Problem

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.04.2007, 12:29
marczett
...neu hier

Beiträge: 4
#1 Ich sehe Ihr habt massig Arbeit mit Drivecleaner. Erstmal kompliment an Euch für den
tollen Support hier..... Hut ab!

Habe ebenfalls dieses Problem
Als erstes erscheint ein seperates Fenster
"Malware Alert - Trojan Adware. W32.ExpDwnldr spyware detectet."

Danach bekomme ich bis zu drei Meldungen von AV-Guard. Aber nicht immer:

1. Enthält Signatur des VBS Scriptvirus VBS/Click.A
2. Enthält Signatur des HTML Scriptvirus HTML/Dldr. TopCas
3. Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

Befinden sich glaube ich alle in den temporary Internet Files


Im Zuge dessen öffnet sich IE obwohl Firefox mein Standard Bwowser ist.
Natürlich mit der Aufforderung mir das Antivirentool Drivecleaner zu kaufen.

Achso: Unten in der Leiste blinkt ein rotes Warndreieck "System Alert" ... aber nicht immer.

Hier mal die Log-Files:



Hijackthis:




Logfile of HijackThis v1.99.1
Scan saved at 11:22:03, on 21.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ICO.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Pelmiced.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSDNS System - {5574E139-F59C-4bee-9A61-150B0D3A16C7} - C:\WINDOWS\service.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: The browsers - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\browsers.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer = 192.168.11.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer = 192.168.11.1
O21 - SSODL: msie - {0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997} - C:\WINDOWS\msie.dll
O21 - SSODL: ieproxy - {4FB7C314-77E6-42F5-9635-610B3B53A44E} - C:\WINDOWS\ieproxy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe





Combofix:



"Admin" - 07-04-21 11:32:33 Service Pack 2
ComboFix 07-04-20.3V - Running from: D:\


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Admin\Desktop.\internet explorer.lnk


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm
-------\LEGACY_NM


((((((((((((((((((((((((((((((( Files Created from 2007-03-21 to 2007-04-21 ))))))))))))))))))))))))))))))))))


2007-04-21 09:17 80,896 --a------ C:\WINDOWS\ieproxy.dll
2007-04-21 09:17 76,800 --a------ C:\WINDOWS\browsers.dll
2007-04-21 09:17 69,632 --a------ C:\WINDOWS\msie.dll
2007-04-21 09:17 68,608 --a------ C:\WINDOWS\service.dll
2007-04-21 09:17 <DIR> d-------- C:\Programme\NewMediaCodec
2007-04-21 08:13 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-21 08:13 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-20 19:31 <DIR> d-------- C:\Programme\Native Instruments
2007-04-09 16:00 <DIR> d-------- C:\Programme\Torbutton
2007-04-09 15:45 <DIR> d-------- C:\Programme\MultiProxy


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-20 19:19 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\utorrent
2007-04-12 22:23 -------- d-------- C:\Programme\tunebite
2007-03-25 21:10 125 ---hs---- C:\DOKUME~1\Admin\ANWEND~1\.zreglib
2007-03-25 15:47 50384 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 15:47 322778 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-20 00:32 -------- d-------- C:\Programme\t-dsl speedmanager
2007-03-19 22:47 -------- d--h----- C:\Programme\installshield installation information
2007-03-14 14:13 13840 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-03-10 11:05 -------- d-------- C:\Programme\fritz!dsl
2007-02-26 22:56 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\vmware
2007-02-21 16:37 -------- d-------- C:\Programme\microsoft.net


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
{5574E139-F59C-4bee-9A61-150B0D3A16C7} C:\WINDOWS\service.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mouse Suite 98 Daemon"="ICO.EXE"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"M-Audio Delta Taskbar Icon"="C:\\WINDOWS\\System32\\DeltTray.exe"
"DeltTray"="DeltTray.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"msie"="{0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997}"
"ieproxy"="{4FB7C314-77E6-42F5-9635-610B3B53A44E}"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Privoxy.lnk"
"backup"="C:\\WINDOWS\\pss\\Privoxy.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Programme\\Privoxy\\privoxy.exe "
"item"="Privoxy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeltTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DeltTray"
"hkey"="HKLM"
"command"="DeltTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpztsb06"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb06.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winlogons"
"hkey"="HKLM"
"command"="C:\\Programme\\Free KGB Key Logger\\winlogons.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=dword:00000002
"wuauserv"=dword:00000002
"Pctspk"=dword:00000002
"ATI Smart"=dword:00000002
"Ati HotKey Poller"=dword:00000002
"rpcapd"=dword:00000003
"ose"=dword:00000003
"iPod Service"=dword:00000003
"IDriverT"=dword:00000003

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-21 11:33:50
C:\ComboFix-quarantined-files.txt ... 07-04-21 11:33





Down.txt:




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.08.2006 18:55 65 desktop.ini
25.06.2006 13:50 1.793 erma.inf
2 Datei(en) 1.858 Bytes
0 Verzeichnis(se), 6.230.659.072 Bytes frei





SYS.txt:





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\

21.04.2007 11:42 0 sys.txt
21.04.2007 11:42 342 down.txt
21.04.2007 11:41 289 tmp.txt
21.04.2007 11:40 5.491 system.txt
21.04.2007 11:40 133 systemtemp.txt
21.04.2007 11:38 97.472 system32.txt
21.04.2007 11:33 8.967 ComboFix.txt
21.04.2007 11:33 675 ComboFix-quarantined-files.txt
21.04.2007 11:30 1.610.612.736 pagefile.sys
21.04.2007 10:11 12.247 files.txt
21.04.2007 09:31 211 boot.ini
17.04.2007 21:28 953 hpfr5550.log
19.03.2007 20:06 29 serial.txt






System32.txt:





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS\system32

19.04.2007 20:02 2.206 wpa.dbl
02.04.2007 14:21 428.032 swreg.exe
25.03.2007 15:47 42.046 perfc009.dat
25.03.2007 15:47 317.192 perfh009.dat
25.03.2007 15:47 322.778 perfh007.dat
25.03.2007 15:47 50.384 perfc007.dat
25.03.2007 15:47 740.284 PerfStringBackup.INI
22.03.2007 21:44 494 $winnt$.inf
14.03.2007 14:13 13.840 wnaspi32.dll
22.02.2007 11:39 190.592 FNTCACHE.DAT





System.txt:




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS

21.04.2007 11:30 0 0.log
21.04.2007 11:30 2.048 bootstat.dat
21.04.2007 11:29 32.618 SchedLgU.Txt
21.04.2007 11:29 70.511 WindowsUpdate.log
21.04.2007 09:48 1.409 QTFont.for
21.04.2007 09:48 54.156 QTFont.qfn
21.04.2007 09:31 227 system.ini
21.04.2007 09:31 732 win.ini
20.04.2007 20:30 795.524 setupapi.log
20.04.2007 16:59 68.608 service.dll
20.04.2007 16:59 76.800 browsers.dll
20.04.2007 16:59 80.896 ieproxy.dll
20.04.2007 16:59 69.632 msie.dll
19.04.2007 20:34 116 NeroDigital.ini
22.03.2007 21:46 2.890 OEWABLog.txt
22.03.2007 21:46 25.436 wmsetup.log
22.03.2007 21:44 18.106 setuplog.txt
22.03.2007 21:44 181.727 setupact.log
22.03.2007 21:43 2.006 setuperr.log
22.03.2007 21:43 37.112 tsoc.log
22.03.2007 21:43 8.726 sessmgr.setup.log
22.03.2007 21:43 140.621 iis6.log
22.03.2007 21:43 2.392 DtcInstall.log
22.03.2007 21:43 11.280 regopt.log
22.03.2007 20:34 2.908 COM+.log
20.03.2007 00:33 604 uiminstall.log
20.03.2007 00:33 79 hotcore3.log
19.03.2007 22:17 61 smscfg.ini
10.03.2007 22:18 3.200 tm.ini
05.03.2007 00:42 411 wiadebug.log
05.03.2007 00:00 50 wiaservc.log
21.02.2007 16:38 400 ODBC.INI
16.02.2007 10:25 0 PROTOCOL.INI
12.02.2007 22:34 124 tdf.dii
31.01.2007 20:54 121 GEARInstall.log





Systemtemp.txt:




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp





tmp.txt:




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS\Temp

21.04.2007 11:30 16.384 Perflib_Perfdata_100.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 6.230.659.072 Bytes frei



Vielen Dank im voraus,

Marc
Seitenanfang Seitenende
21.04.2007, 12:36
raman
Moderator

Beiträge: 7805
#2 Du brauchstr einmal das: http://siri.geekstogo.com/SmitfraudFix_De.php

Danach bitte das machen. Die AV-Reporte sind wichtig. sowie die Logs, die du vorhin schon gepostet hast( Natuerlich aktuell nach der ganzen aktion die du gleich machen musst.

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben.

Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Dann den Rechner neu starten, poste den Bericht, den Antivir und Cureit im abgesicherten Modus erstellt hat und dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen) und die Logs von oben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.04.2007, 15:45
marczett
...neu hier

Themenstarter

Beiträge: 4
#3 Danke für die schnelle Antwort,

bloß eines ist mir noch unklar.... was soll ich mit SmitfraudFix machen?
Einfach nur auslesen lassen?

MfG, Marc
Seitenanfang Seitenende
21.04.2007, 15:48
raman
Moderator

Beiträge: 7805
#4 Nein, mit Hilfe der Anleitung "clean"en. Also den Punkt Reinigung abarbeiten
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.04.2007, 21:12
marczett
...neu hier

Themenstarter

Beiträge: 4
#5 Sodale, hab jetzt mal alles nach Anleitung abgearbeitet. Ging leider nicht schneller, da ich am Sonntag mal spontan wegen nem Pneumothorax im Krankenhaus gelandet bin. Da sieht man mal wie einem so'n Virus zu schaffen macht ;-)
Hab auch mal Spybot drüberlaufen lassen, hat aber leider nichts gebracht!




Hier mal die Log's


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 24. April 2007 19:55

Es wird nach 748776 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Admin
Computername: ZETT

Versionsinformationen:
BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 21.04.2007 06:13:45
AVSCAN.DLL : 7.0.4.0 41000 Bytes 21.04.2007 06:13:45
LUKE.DLL : 7.0.4.11 143400 Bytes 21.04.2007 06:13:46
LUKERES.DLL : 7.0.4.0 10792 Bytes 21.04.2007 06:13:46
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 10:21:48
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 09:01:52
ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 16:39:50
ANTIVIR3.VDF : 6.38.1.33 112128 Bytes 24.04.2007 17:50:00
AVEWIN32.DLL : 7.4.0.15 2421248 Bytes 24.04.2007 17:50:00
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 06:13:45
AVPREF.DLL : 7.0.2.1 24616 Bytes 21.04.2007 06:13:45
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 06:13:47
AVPACK32.DLL : 7.3.0.8 360488 Bytes 03.04.2007 17:39:01
AVREG.DLL : 7.0.1.2 31784 Bytes 21.04.2007 06:13:45
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 21.04.2007 06:13:44
AVARKT.DLL : 1.0.0.12 274472 Bytes 21.04.2007 06:13:43
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 06:13:46
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 21.04.2007 06:13:39
RCTEXT.DLL : 7.0.45.0 86056 Bytes 21.04.2007 06:13:39

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 24. April 2007 19:55

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '10' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Signatur des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Signatur des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46974510.qua' verschoben!
C:\Programme\T-DSL SpeedManager\Pcandis5.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\SmitfraudFix\Reboot.exe
[FUND] Enthält Signatur des SPR/Tool.Reboot.C-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469047d7.qua' verschoben!
C:\SmitfraudFix\restart.exe
[FUND] Enthält Signatur des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a147d9.qua' verschoben!


Ende des Suchlaufs: Dienstag, 24. April 2007 20:19
Benötigte Zeit: 23:48 min

Der Suchlauf wurde vollständig durchgeführt.

3085 Verzeichnisse wurden überprüft
144463 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
144459 Dateien ohne Befall
725 Archive wurden durchsucht
2 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden


-----------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 20:38:23, on 26.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\Pelmiced.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Logfiles\test.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSDNS System - {5574E139-F59C-4bee-9A61-150B0D3A16C7} - C:\WINDOWS\service.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer = 192.168.11.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer = 192.168.11.1
O21 - SSODL: msie - {0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997} - C:\WINDOWS\msie.dll
O21 - SSODL: ieproxy - {4FB7C314-77E6-42F5-9635-610B3B53A44E} - C:\WINDOWS\ieproxy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe



------------------------------------------------------------------





"Admin" - 07-04-26 20:39:32 Service Pack 2
ComboFix 07-04-20.3V - Running from: D:\


((((((((((((((((((((((((((((((( Files Created from 2007-03-26 to 2007-04-26 ))))))))))))))))))))))))))))))))))


2007-04-26 20:32 872,930 --a------ C:\SmitfraudFix(2).exe
2007-04-26 20:32 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-04-26 20:32 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-04-26 20:32 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-04-26 18:54 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-04-26 18:48 <DIR> d-------- C:\Programme\Lavasoft
2007-04-26 18:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-04-26 18:48 <DIR> d-------- C:\DOKUME~1\Admin\ANWEND~1\Lavasoft
2007-04-26 10:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-24 20:43 6,247,712 --a------ C:\cureit.exe
2007-04-24 18:13 <DIR> d-------- C:\SmitfraudFix
2007-04-21 16:22 <DIR> d-------- C:\DOKUME~1\Admin\DoctorWeb
2007-04-21 16:09 <DIR> d-------- C:\Logfiles
2007-04-21 13:40 1,654 --a------ C:\WINDOWS\system32\tmp.reg
2007-04-21 09:17 80,896 --a------ C:\WINDOWS\ieproxy.dll
2007-04-21 09:17 76,800 --a------ C:\WINDOWS\browsers.dll
2007-04-21 09:17 69,632 --a------ C:\WINDOWS\msie.dll
2007-04-21 09:17 68,608 --a------ C:\WINDOWS\service.dll
2007-04-21 08:13 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-21 08:13 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-20 19:31 <DIR> d-------- C:\Programme\Native Instruments
2007-04-09 16:00 <DIR> d-------- C:\Programme\Torbutton
2007-04-09 15:45 <DIR> d-------- C:\Programme\MultiProxy


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-20 19:19 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\utorrent
2007-04-12 22:23 -------- d-------- C:\Programme\tunebite
2007-03-25 21:10 125 ---hs---- C:\DOKUME~1\Admin\ANWEND~1\.zreglib
2007-03-25 15:47 50384 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 15:47 322778 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-20 00:32 -------- d-------- C:\Programme\t-dsl speedmanager
2007-03-19 22:50 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\t-dsl speedmanager
2007-03-19 22:47 -------- d--h----- C:\Programme\installshield installation information
2007-03-14 14:13 13840 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-03-10 11:05 -------- d-------- C:\Programme\fritz!dsl
2007-02-26 22:56 -------- d-------- C:\DOKUME~1\Admin\ANWEND~1\vmware


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{5574E139-F59C-4bee-9A61-150B0D3A16C7} C:\WINDOWS\service.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mouse Suite 98 Daemon"="ICO.EXE"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"M-Audio Delta Taskbar Icon"="C:\\WINDOWS\\System32\\DeltTray.exe"
"DeltTray"="DeltTray.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"msie"="{0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997}"
"ieproxy"="{4FB7C314-77E6-42F5-9635-610B3B53A44E}"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Privoxy.lnk"
"backup"="C:\\WINDOWS\\pss\\Privoxy.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Programme\\Privoxy\\privoxy.exe "
"item"="Privoxy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeltTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DeltTray"
"hkey"="HKLM"
"command"="DeltTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpztsb06"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb06.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winlogons"
"hkey"="HKLM"
"command"="C:\\Programme\\Free KGB Key Logger\\winlogons.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=dword:00000002
"wuauserv"=dword:00000002
"Pctspk"=dword:00000002
"ATI Smart"=dword:00000002
"Ati HotKey Poller"=dword:00000002
"rpcapd"=dword:00000003
"ose"=dword:00000003
"iPod Service"=dword:00000003
"IDriverT"=dword:00000003

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-26 20:40:12
C:\ComboFix-quarantined-files.txt ... 07-04-26 20:40



-------------------------------------------------------------



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS\Downloaded Program Files


2 Datei(en) 1.858 Bytes
0 Verzeichnis(se), 6.653.001.728 Bytes frei



---------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\

26.04.2007 20:44 0 sys.txt
26.04.2007 20:44 342 down.txt
26.04.2007 20:44 289 tmp.txt
26.04.2007 20:43 5.540 system.txt
26.04.2007 20:43 133 systemtemp.txt
26.04.2007 20:41 97.661 system32.txt
26.04.2007 20:40 9.652 ComboFix.txt
26.04.2007 20:40 675 ComboFix-quarantined-files.txt
26.04.2007 20:33 2.107 rapport.txt
26.04.2007 20:31 872.930 SmitfraudFix(2).exe
26.04.2007 19:03 1.610.612.736 pagefile.sys
25.04.2007 08:22 1.231 hpfr5550.log
21.04.2007 13:10 6.247.712 cureit.exe
21.04.2007 10:11 12.247 files.txt
21.04.2007 09:31 211 boot.ini
19.03.2007 20:06 29 serial.txt

32 Datei(en) 1.620.683.284 Bytes
0 Verzeichnis(se), 6.652.997.632 Bytes frei


----------------------------------------------------------



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS\system32

26.04.2007 20:32 0 tmp.txt
26.04.2007 20:32 1.654 tmp.reg
26.04.2007 08:54 2.206 wpa.dbl
25.03.2007 15:47 317.192 perfh009.dat
25.03.2007 15:47 42.046 perfc009.dat
25.03.2007 15:47 322.778 perfh007.dat
25.03.2007 15:47 50.384 perfc007.dat
25.03.2007 15:47 740.284 PerfStringBackup.INI
22.03.2007 21:44 494 $winnt$.inf
14.03.2007 14:13 13.840 wnaspi32.dll
22.02.2007 11:39 190.592 FNTCACHE.DAT


2001 Datei(en) 358.481.672 Bytes
0 Verzeichnis(se), 6.652.997.632 Bytes frei



------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS

26.04.2007 20:33 183.167 setupact.log
26.04.2007 19:09 101.931 WindowsUpdate.log
26.04.2007 19:03 0 0.log
26.04.2007 19:03 2.048 bootstat.dat
26.04.2007 19:02 32.618 SchedLgU.Txt
26.04.2007 10:38 1.091.330 ntbtlog.txt
26.04.2007 09:15 116 NeroDigital.ini
25.04.2007 08:07 54.156 QTFont.qfn
21.04.2007 13:05 797.601 setupapi.log
21.04.2007 09:48 1.409 QTFont.for
21.04.2007 09:31 227 system.ini
21.04.2007 09:31 732 win.ini
20.04.2007 16:59 76.800 browsers.dll
20.04.2007 16:59 69.632 msie.dll
20.04.2007 16:59 68.608 service.dll
20.04.2007 16:59 80.896 ieproxy.dll
22.03.2007 21:46 2.890 OEWABLog.txt
22.03.2007 21:46 25.436 wmsetup.log
22.03.2007 21:44 18.106 setuplog.txt
22.03.2007 21:43 2.006 setuperr.log
22.03.2007 21:43 37.112 tsoc.log
22.03.2007 21:43 8.726 sessmgr.setup.log
22.03.2007 21:43 140.621 iis6.log
22.03.2007 21:43 2.392 DtcInstall.log
22.03.2007 21:43 11.280 regopt.log
22.03.2007 20:34 2.908 COM+.log
20.03.2007 00:33 604 uiminstall.log
20.03.2007 00:33 79 hotcore3.log
19.03.2007 22:17 61 smscfg.ini
10.03.2007 22:18 3.200 tm.ini
05.03.2007 00:42 411 wiadebug.log
05.03.2007 00:00 50 wiaservc.log
21.02.2007 16:38 400 ODBC.INI
16.02.2007 10:25 0 PROTOCOL.INI
12.02.2007 22:34 124 tdf.dii

107 Datei(en) 8.230.051 Bytes
0 Verzeichnis(se), 6.653.005.824 Bytes frei



-----------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp




--------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CC8-3F7E

Verzeichnis von C:\WINDOWS\Temp

21.04.2007 12:58 16.384 Perflib_Perfdata_14c.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 6.653.001.728 Bytes frei



------------------------------------------------------



SmitFraudFix v2.171

Scan done at 19:53:25,03, 24.04.2007
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\Admin\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Admin\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Admin\Desktop\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer=192.168.11.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer=192.168.11.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer=192.168.11.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{734E9490-6DC4-4507-8DC8-FF30C18106AB}: NameServer=192.168.11.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D794DD8F-9F05-4A2F-A313-C34199FB011E}: NameServer=192.168.11.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Grüsse,

Marc

PS: Cureit csv ist im Anhang!

Anhang: DrWeb.csv
Seitenanfang Seitenende
26.04.2007, 21:27
raman
Moderator

Beiträge: 7805
#6 Das sind die "boesen" Dateien
C:\WINDOWS\ieproxy.dll
C:\WINDOWS\browsers.dll
C:\WINDOWS\msie.dll
C:\WINDOWS\service.dll

Packe diese bitte und schicke sie an virus@protecus.de

Dann folgende Dinge anhaken und fix checked druecken:

O2 - BHO: MSDNS System - {5574E139-F59C-4bee-9A61-150B0D3A16C7} - C:\WINDOWS\service.dll
O21 - SSODL: msie - {0B29B98E-1A40-4FD4-BFA9-FBFC6CB44997} - C:\WINDOWS\msie.dll
O21 - SSODL: ieproxy - {4FB7C314-77E6-42F5-9635-610B3B53A44E} - C:\WINDOWS\ieproxy.dll

Warum hast du vmware installiert?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.04.2007, 22:18
marczett
...neu hier

Themenstarter

Beiträge: 4
#7 Hi Ralf,

waren die richtigen bösen.... wieder alles im Lot. Vielen Dank mit Zucker oben drauf.
Hab VM-Ware drauf da ich nen Server2003 Kurs mit schwerpunkt Benutzerverwaltung belegt habe und damals noch keine zweite Kiste hatte.
Ihr seid ja anscheinend auch nie am schlafen. Tolle Sache wenn sich Leutz wie Ihr so viel Zeit nehmen.

Mfg,

Marc


Achso: Warum erkennen AntiVir & Co diese eigentlich nicht???
Seitenanfang Seitenende
27.04.2007, 05:36
raman
Moderator

Beiträge: 7805
#8 Antivir erkennt 3 der 4 Dateien. Leider nur mit der Premiumversion, das sie alle als Adware gemeldet werden. Du kannst einen Kontrollscan mit Cureit machen http://freedrweb.com/?lng=de und nutze Ewido micro: http://www.ewido.net/de/onlinescan/
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1