Cid Spam-pop Ups

Thema ist geschlossen!
Thema ist geschlossen!
#0
19.01.2008, 13:25
...neu hier

Beiträge: 6
#31 Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Jump Poll Poke Mp3
C:\DOKUME~1\lOaHl\ANWEND~1\STUPID~1\
C:\Programme\AdVantage\

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mix scr"=-


das habe ich in die .txt datei cfscript getan , auf den desktop und dann in den combofix gezogen dann lief das programm , hat pc reboot gemacht usw oder is die logfile nun woanders gelandet?



der Counterspy hat nun gebracht :

Scan History Details
Start Date: 2008-01-19 12:55:19
End Date: 2008-01-19 13:24:04
Total Time: 28 Min 45 Sec
Detected security risks

Messenger Plus! Adware Bundler more information...
Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.
Status: Deleted

Files detected
C:\PROGRAMME\MESSENGER PLUS! LIVE\Detoured.dll
C:\PROGRAMME\MESSENGER PLUS! LIVE\Events Style Sheet.xsl
C:\PROGRAMME\MESSENGER PLUS! LIVE\lame_enc.dll



Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted

Registry entries detected
HKEY_USERS\.DEFAULT\SOFTWARE\WGET
HKEY_USERS\S-1-5-18\SOFTWARE\WGET
HKEY_USERS\S-1-5-21-796845957-1957994488-725345543-1004\SOFTWARE\WGET


Trojan.Obfus.Gen Trojan more information...
Status: Deleted

Files detected
C:\Programme\Circle Developement\Uninstall.exe
C:\QooBox\Quarantine\C\DOKUME~1\lOaHl\ANWEND~1\STUPID~1\kvndrmop.exe.vir


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\loahl\cookies\loahl@2o7[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@888[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@888[3].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@ad.yieldmanager[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@advertising[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@apmebf[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@atdmt[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@azjmp[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@banner.joylandcasino[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@bfast[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@cassava[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@doubleclick[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@emjcd[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@fastclick[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@go[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@joylandcasino[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@mediaplex[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@pacificpoker[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@partygaming.122.2o7[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@partypoker[1].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@tradedoubler[2].txt
c:\dokumente und einstellungen\loahl\cookies\loahl@weborama[2].txt


MeMedia.AdVantage Adware (General) more information...
Details: MeMedia.AdVantage is advertising software that tracks browsing and displays ads on the desktop. It is typically installed in a bundle with other software.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\APPID\TR.DLL
HKEY_LOCAL_MACHINE\Software\Classes\APPID\TR.DLL
HKEY_LOCAL_MACHINE\Software\Classes\APPID\{69E0089F-28BC-4BB5-862B-E2B07C3B83C6}
HKEY_LOCAL_MACHINE\Software\Classes\APPID\{69E0089F-28BC-4BB5-862B-E2B07C3B83C6}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\Programmable
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{F6E4845D-1D13-4BC0-942D-B9191524CC48}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\MEAD.1
HKEY_LOCAL_MACHINE\Software\Classes\MEAD.1
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY.1
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY.1
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\TR.TRFACTORY\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0\0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{DABF362D-D442-4402-9208-CA9ED70DD01E}\1.0\HELPDIR


Trojan.Obfusgen.A Trojan more information...
Status: Deleted

Files detected
C:\QooBox\Quarantine\C\DOKUME~1\lOaHl\ANWEND~1\STUPID~1\zhhuzpqa.exe.vir


habe alles removed , werde nun eben pc rebooten
Seitenanfang Seitenende
19.01.2008, 13:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#32 Es gibt auf C:\combofix.txt poste das log (die letzte)
__________
MfG Argus
Seitenanfang Seitenende
25.01.2008, 10:59
...neu hier

Beiträge: 1
#33 Hi! Bin neu in Forum meine Muttersprache ist Spanisch und dazu habe ich nicht soviel Ahnung von Computers, aber wenn ich es gut verstanden habe, gibt es für diese CiD Schei....Popus nur individuele Lösungen...Stimt es? Ich habe Hijackthis heruntergeladen und ein Scan durchgeführt.Wie geht es Weiter, ich bitte um Hilfe, und bin begeistert von den vielen netten Menschen, die einfach so helfen, es ist das erste Mal wo ich selber um etwas frage. PLease!POR FAVOR!

Schöne Grüße aus Köln

Hier die Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:06, on 25.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Tenda\ACU.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\MSTMON_N.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Tenda\ACU.exe -nogui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [stupid creative poll axis] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative\DRIVE TOOL.exe
O4 - HKCU\..\Run: [AXIS SLOW] C:\DOKUME~1\USER6~1\ANWEND~1\UPSETT~1\JUNK ROAD BARB.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Tenda Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7659 bytes
Seitenanfang Seitenende
25.01.2008, 11:36
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#34 Antje

wende bitte Combofix an + poste den report hier
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 09:14
...neu hier

Beiträge: 5
#35 Moin...
habs einiger zeit das gleiche problem. Hatte jetz mir schon HijackThis und Counterspy runtergeladen und min3 mal durchlaufen lassen...counterspy hat so einiges vernichtet und beim scannen hat im hintergrunde der virenscanner auch die ordner mit gescannt..aber was soll ich sagen imernoch da...villt kann mir ja wer ne endgükltige lösung geben. Hier schonmal der hijackths report:

achso teilweise öffnet er nen prozess vom iexplorer der dann auf 100& systemauslastung läuft den man dann zwar schliessen kann aber nach 2sek wieder geöffnet wird.

MfG L0m3X

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:06:39, on 29.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CounterSpy\SBCSTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [stupid creative poll axis] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative\Soap Hold.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [32mp3] C:\DOKUME~1\Maddi\ANWEND~1\BINDCH~1\web browse.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\CounterSpy\SBCSSvc.exe

--
End of file - 8285 bytes


und noch die log von combofix:

ComboFix 08-01-29.3 - Maddi 2008-01-29 9:17:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.620 [GMT 1:00]
ausgeführt von:: C:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.

((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-27 18:13 . 2008-01-28 17:12 <DIR> d-------- C:\Programme\uTorrent
2008-01-27 18:13 . 2008-01-28 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\uTorrent
2008-01-27 18:09 . 2008-01-27 18:09 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Programme\CounterSpy
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Sunbelt Software
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-01-25 12:21 . 2008-01-29 09:06 <DIR> d-------- C:\Programme\Hijack This
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Programme\Avira
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-22 16:39 . 2008-01-28 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\BIND CHIN TYPE
2008-01-22 16:39 . 2008-01-22 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative
2008-01-17 19:27 . 2008-01-17 19:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-01-17 19:27 . 2008-01-17 19:39 <DIR> d-------- C:\Programme\DaViDeo 4 professional
2008-01-17 19:27 . 2008-01-17 19:26 78,896 --------- C:\WINDOWS\system32\GEARASPI.DLL
2008-01-17 19:27 . 2008-01-17 19:26 13,872 --------- C:\WINDOWS\system32\drivers\GEARASPIWDM.SYS
2008-01-12 09:58 . 2008-01-15 17:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-12 09:58 . 2008-01-12 09:58 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-29 11:58 . 2008-01-29 09:08 <DIR> d-------- C:\T-Com Daten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 08:17 --------- d-----w C:\Programme\ICQ
2008-01-29 07:56 --------- d-----w C:\Programme\SpeedFan
2008-01-28 20:05 --------- d-----w C:\Programme\AnyDVD
2008-01-28 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-25 18:48 --------- d-----w C:\Programme\DAEMON Tools
2008-01-22 19:55 --------- d-----w C:\Programme\ASF Converter(wmv to mpeg)
2008-01-22 18:41 --------- d-----w C:\Programme\Antivir
2008-01-17 18:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-17 18:26 65,536 ------w C:\WINDOWS\system32\DVDKeyAuth.dll
2008-01-17 18:26 53,248 ------w C:\WINDOWS\system32\GEARSEC.EXE
2008-01-17 18:26 213,054 ----a-w C:\WINDOWS\GSetup.exe
2008-01-17 18:24 --------- d-----w C:\Programme\DaViDeo 4
2007-12-30 18:50 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\dvdcss
2007-12-28 21:19 --------- d-----w C:\Programme\Hama
2007-12-24 14:21 --------- d-----w C:\Programme\autoUSD
2007-12-24 08:29 --------- d-----w C:\Programme\Media_Manager_2004
2007-12-24 08:28 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Shareaza
2007-12-13 17:37 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2006-06-07 13:39 17,920 ----a-w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-26 10:34 457 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 15:25 94208]
"32mp3"="C:\DOKUME~1\Maddi\ANWEND~1\BINDCH~1\web browse.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 03:04 59392]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 02:06 7311360]
"nwiz"="nwiz.exe" [2005-12-10 02:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 02:06 86016]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2005-02-01 18:28 1474560]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 00:50 204800]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"nForce Tray Options"="sstray.exe" [2003-08-13 05:25 73728 C:\WINDOWS\system32\sstray.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-26 13:15 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"stupid creative poll axis"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative\Soap Hold.exe" [2008-01-29 08:58 2610688]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-22 19:43 249896]
"SBCSTray"="C:\Programme\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00 15360]

C:\Dokumente und Einstellungen\Maddi\Startmen\Programme\Autostart\
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2004-12-18 13:58:09 2230272]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-18 11:35:22 113664]
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2007-12-28 22:20:02 610304]
HPAiODevice(hp officejet d series) - 1.lnk - C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe [2002-09-26 14:47:54 491582]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftickPPP]
--a------ 2006-04-08 00:50 195072 C:\Programme\Softick\Bin\PPPGate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Poweroff"=2 (0x2)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-01-27 18:09]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2006-01-12 12:56]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-11-01 12:21]
R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 09:41]
R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 09:57]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys [2004-09-06 13:40]
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys [2005-06-29 10:21]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 RTCore32;RTCore32;C:\rmma365bin\RTCore32.sys []
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2007-01-11 18:20]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 14:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 14:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 14:38]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" [2003-08-16 10:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da60caf1-6f5f-11dc-a021-000ea6505c3f}]
\Shell\AutoRun\command - F:\pushinst.exe

*Newly Created Service* - PROCEXP90
*Newly Created Service* - SBAPIFS

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8A00200-C6FF-D302-AFB7-E76056DA3409}]
C:\WINDOWS\system32\My_Server.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 08:00:00 C:\WINDOWS\Tasks\A20A9B9A919919D6.job"
- c:\dokume~1\maddi\anwend~1\bindch~1\PingSoftwareOnce.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 09:20:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 9:21:14
Dieser Beitrag wurde am 29.01.2008 um 09:27 Uhr von L0m3X editiert.
Seitenanfang Seitenende
29.01.2008, 09:34
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#36 L0m3X

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"stupid creative poll axis"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"32mp3"=-

File::
C:\WINDOWS\Tasks\A20A9B9A919919D6.job

Folder::
C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\BIND CHIN TYPE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative


Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



2.
danach: Combofix noch einmal anwenden - tippe 1


3.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 10:14
...neu hier

Beiträge: 5
#37 hmm alles so ausgeführt...aber die popups kommen immernoch...nochmal nen scan machen? wenn ja mit welchem prog?
Seitenanfang Seitenende
29.01.2008, 10:23
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#38 L0m3X

poste mal bitte das neue Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 14:18
...neu hier

Beiträge: 5
#39 neuer combofix log:

ComboFix 08-01-29.3 - Maddi 2008-01-29 14:14:36.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.741 [GMT 1:00]
ausgeführt von:: C:\Downloads\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-27 18:13 . 2008-01-28 17:12 <DIR> d-------- C:\Programme\uTorrent
2008-01-27 18:13 . 2008-01-28 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\uTorrent
2008-01-27 18:09 . 2008-01-27 18:09 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Programme\CounterSpy
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Sunbelt Software
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-01-25 12:21 . 2008-01-29 09:06 <DIR> d-------- C:\Programme\Hijack This
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Programme\Avira
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-22 16:39 . 2008-01-28 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\BIND CHIN TYPE
2008-01-22 16:39 . 2008-01-22 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative
2008-01-17 19:27 . 2008-01-17 19:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-01-17 19:27 . 2008-01-17 19:39 <DIR> d-------- C:\Programme\DaViDeo 4 professional
2008-01-17 19:27 . 2008-01-17 19:26 78,896 --------- C:\WINDOWS\system32\GEARASPI.DLL
2008-01-17 19:27 . 2008-01-17 19:26 13,872 --------- C:\WINDOWS\system32\drivers\GEARASPIWDM.SYS
2008-01-12 09:58 . 2008-01-15 17:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-12 09:58 . 2008-01-12 09:58 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-29 11:58 . 2008-01-29 09:08 <DIR> d-------- C:\T-Com Daten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 13:13 --------- d-----w C:\Programme\SpeedFan
2008-01-29 08:17 --------- d-----w C:\Programme\ICQ
2008-01-28 20:05 --------- d-----w C:\Programme\AnyDVD
2008-01-28 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-25 18:48 --------- d-----w C:\Programme\DAEMON Tools
2008-01-22 19:55 --------- d-----w C:\Programme\ASF Converter(wmv to mpeg)
2008-01-22 18:41 --------- d-----w C:\Programme\Antivir
2008-01-17 18:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-17 18:26 65,536 ------w C:\WINDOWS\system32\DVDKeyAuth.dll
2008-01-17 18:26 53,248 ------w C:\WINDOWS\system32\GEARSEC.EXE
2008-01-17 18:26 213,054 ----a-w C:\WINDOWS\GSetup.exe
2008-01-17 18:24 --------- d-----w C:\Programme\DaViDeo 4
2007-12-30 18:50 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\dvdcss
2007-12-28 21:19 --------- d-----w C:\Programme\Hama
2007-12-24 14:21 --------- d-----w C:\Programme\autoUSD
2007-12-24 08:29 --------- d-----w C:\Programme\Media_Manager_2004
2007-12-24 08:28 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Shareaza
2007-12-13 17:37 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2006-06-07 13:39 17,920 ----a-w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-26 10:34 457 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 15:25 94208]
"32mp3"="C:\DOKUME~1\Maddi\ANWEND~1\BINDCH~1\web browse.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 03:04 59392]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 02:06 7311360]
"nwiz"="nwiz.exe" [2005-12-10 02:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 02:06 86016]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2005-02-01 18:28 1474560]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 00:50 204800]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"nForce Tray Options"="sstray.exe" [2003-08-13 05:25 73728 C:\WINDOWS\system32\sstray.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-26 13:15 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"stupid creative poll axis"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative\Soap Hold.exe" [2008-01-29 10:10 2610688]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-22 19:43 249896]
"SBCSTray"="C:\Programme\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00 15360]

C:\Dokumente und Einstellungen\Maddi\Startmen\Programme\Autostart\
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2004-12-18 13:58:09 2230272]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-18 11:35:22 113664]
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2007-12-28 22:20:02 610304]
HPAiODevice(hp officejet d series) - 1.lnk - C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe [2002-09-26 14:47:54 491582]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftickPPP]
--a------ 2006-04-08 00:50 195072 C:\Programme\Softick\Bin\PPPGate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Poweroff"=2 (0x2)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-01-27 18:09]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2006-01-12 12:56]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-11-01 12:21]
R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 09:41]
R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 09:57]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys [2004-09-06 13:40]
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys [2005-06-29 10:21]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 RTCore32;RTCore32;C:\rmma365bin\RTCore32.sys []
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2007-01-11 18:20]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 14:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 14:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 14:38]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" [2003-08-16 10:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da60caf1-6f5f-11dc-a021-000ea6505c3f}]
\Shell\AutoRun\command - F:\pushinst.exe

*Newly Created Service* - SBAPIFS

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8A00200-C6FF-D302-AFB7-E76056DA3409}]
C:\WINDOWS\system32\My_Server.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 13:00:01 C:\WINDOWS\Tasks\A20A9B9A919919D6.job"
- c:\dokume~1\maddi\anwend~1\bindch~1\PingSoftwareOnce.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 14:18:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 14:18:55
Seitenanfang Seitenende
29.01.2008, 16:10
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#40 L0m3X

ja nun..klar, du hast die Combofix nicht korrekt angewendet

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"stupid creative poll axis"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"32mp3"=-

File::
C:\WINDOWS\Tasks\A20A9B9A919919D6.job

Folder::
C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\BIND CHIN TYPE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden - tippe 1 - poste dann hier das neue Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 17:25
...neu hier

Beiträge: 5
#41 so jetz sieht er so aus:


ComboFix 08-01-29.3 - Maddi 2008-01-29 17:18:19.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.711 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Maddi\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-27 18:13 . 2008-01-28 17:12 <DIR> d-------- C:\Programme\uTorrent
2008-01-27 18:13 . 2008-01-28 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\uTorrent
2008-01-27 18:09 . 2008-01-27 18:09 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Programme\CounterSpy
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Sunbelt Software
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-01-25 12:21 . 2008-01-29 09:06 <DIR> d-------- C:\Programme\Hijack This
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Programme\Avira
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-22 16:39 . 2008-01-28 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\BIND CHIN TYPE
2008-01-22 16:39 . 2008-01-22 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative
2008-01-17 19:27 . 2008-01-17 19:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-01-17 19:27 . 2008-01-17 19:39 <DIR> d-------- C:\Programme\DaViDeo 4 professional
2008-01-17 19:27 . 2008-01-17 19:26 78,896 --------- C:\WINDOWS\system32\GEARASPI.DLL
2008-01-17 19:27 . 2008-01-17 19:26 13,872 --------- C:\WINDOWS\system32\drivers\GEARASPIWDM.SYS
2008-01-12 09:58 . 2008-01-15 17:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-12 09:58 . 2008-01-12 09:58 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-29 11:58 . 2008-01-29 09:08 <DIR> d-------- C:\T-Com Daten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 13:13 --------- d-----w C:\Programme\SpeedFan
2008-01-29 08:17 --------- d-----w C:\Programme\ICQ
2008-01-28 20:05 --------- d-----w C:\Programme\AnyDVD
2008-01-28 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-25 18:48 --------- d-----w C:\Programme\DAEMON Tools
2008-01-22 19:55 --------- d-----w C:\Programme\ASF Converter(wmv to mpeg)
2008-01-22 18:41 --------- d-----w C:\Programme\Antivir
2008-01-17 18:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-17 18:26 65,536 ------w C:\WINDOWS\system32\DVDKeyAuth.dll
2008-01-17 18:26 53,248 ------w C:\WINDOWS\system32\GEARSEC.EXE
2008-01-17 18:26 213,054 ----a-w C:\WINDOWS\GSetup.exe
2008-01-17 18:24 --------- d-----w C:\Programme\DaViDeo 4
2007-12-30 18:50 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\dvdcss
2007-12-28 21:19 --------- d-----w C:\Programme\Hama
2007-12-24 14:21 --------- d-----w C:\Programme\autoUSD
2007-12-24 08:29 --------- d-----w C:\Programme\Media_Manager_2004
2007-12-24 08:28 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Shareaza
2007-12-13 17:37 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2006-06-07 13:39 17,920 ----a-w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-26 10:34 457 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 15:25 94208]
"32mp3"="C:\DOKUME~1\Maddi\ANWEND~1\BINDCH~1\web browse.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 03:04 59392]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 02:06 7311360]
"nwiz"="nwiz.exe" [2005-12-10 02:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 02:06 86016]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2005-02-01 18:28 1474560]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 00:50 204800]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"nForce Tray Options"="sstray.exe" [2003-08-13 05:25 73728 C:\WINDOWS\system32\sstray.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-26 13:15 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"stupid creative poll axis"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative\Soap Hold.exe" [2008-01-29 14:21 2621440]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-22 19:43 249896]
"SBCSTray"="C:\Programme\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00 15360]

C:\Dokumente und Einstellungen\Maddi\Startmen\Programme\Autostart\
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2004-12-18 13:58:09 2230272]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-18 11:35:22 113664]
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2007-12-28 22:20:02 610304]
HPAiODevice(hp officejet d series) - 1.lnk - C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe [2002-09-26 14:47:54 491582]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftickPPP]
--a------ 2006-04-08 00:50 195072 C:\Programme\Softick\Bin\PPPGate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Poweroff"=2 (0x2)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-01-27 18:09]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2006-01-12 12:56]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-11-01 12:21]
R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 09:41]
R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 09:57]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys [2004-09-06 13:40]
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys [2005-06-29 10:21]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 RTCore32;RTCore32;C:\rmma365bin\RTCore32.sys []
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2007-01-11 18:20]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 14:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 14:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 14:38]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" [2003-08-16 10:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da60caf1-6f5f-11dc-a021-000ea6505c3f}]
\Shell\AutoRun\command - F:\pushinst.exe

*Newly Created Service* - SBAPIFS

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8A00200-C6FF-D302-AFB7-E76056DA3409}]
C:\WINDOWS\system32\My_Server.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 16:00:01 C:\WINDOWS\Tasks\A20A9B9A919919D6.job"
- c:\dokume~1\maddi\anwend~1\bindch~1\PingSoftwareOnce.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 17:20:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 17:20:59
ComboFix2.txt 2008-01-29 13:18:56


MfG L0m3X
Seitenanfang Seitenende
29.01.2008, 18:04
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#42 du bist heute schon der zweite User, bei dem die Combofix nix löscht... nun frag ich mich, liegt es am Script, an der Combofix oder an was ???
Hast du WIRKLICH alles genau abkopiert (ohne Zitat) , abgespeichert usw... ???
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.01.2008, 22:22
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#43 L0m3X

versuchen wir es mit dem Avenger ;)
http://www.virus-protect.org/artikel/tools/avenger.html


Input script manually (anhaken)
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

kopiere rein (ohne Zitat)

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|stupid creative poll axis

Files to delete:
C:\WINDOWS\Tasks\A20A9B9A919919D6.job

Folders to delete:
C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\BIND CHIN TYPE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative


- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
- Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

««
poste das Log vom Avenger, was erscheint

««
poste das log vom HIjackThis
http://www.virus-protect.org/hjtkurz.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.01.2008, 10:40
...neu hier

Beiträge: 5
#44 so moin...also hab das mit dem avenger gemacht und nach dem log zuurteilen siehts ganz gut aus, auch hijack und combofix haben die nichmehr angegeben dase noch da sind...das einzige was jetz neu is, is das mein diskettenlaufwerk anfängt was zuladen, also nervig ratterrt und das in 2min abständen ca. naja, ich glaub ich baus aus;)...jedenfalls hier die logs:

avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kkjnxxgu

*******************

Script file located at: \??\C:\WINDOWS\system32\fgncsgmc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Tasks\A20A9B9A919919D6.job deleted successfully.
Folder C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\BIND CHIN TYPE deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Memo save stupid creative deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|stupid creative poll axis deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:34, on 2008-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CounterSpy\SBCSTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [32mp3] C:\DOKUME~1\Maddi\ANWEND~1\BINDCH~1\web browse.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\CounterSpy\SBCSSvc.exe

--
End of file - 7657 bytes


Combofix:


ComboFix 08-01-29.3 - Maddi 2008-01-30 10:35:22.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.681 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Maddi\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 ))))))))))))))))))))))))))))))
.

2008-01-27 18:13 . 2008-01-28 17:12 <DIR> d-------- C:\Programme\uTorrent
2008-01-27 18:13 . 2008-01-28 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\uTorrent
2008-01-27 18:09 . 2008-01-27 18:09 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-01-25 12:30 . 2008-01-25 12:30 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Programme\CounterSpy
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Sunbelt Software
2008-01-25 12:29 . 2008-01-25 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-01-25 12:21 . 2008-01-30 10:33 <DIR> d-------- C:\Programme\Hijack This
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Programme\Avira
2008-01-22 19:41 . 2008-01-22 19:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-17 19:27 . 2008-01-17 19:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-01-17 19:27 . 2008-01-17 19:39 <DIR> d-------- C:\Programme\DaViDeo 4 professional
2008-01-17 19:27 . 2008-01-17 19:26 78,896 --------- C:\WINDOWS\system32\GEARASPI.DLL
2008-01-17 19:27 . 2008-01-17 19:26 13,872 --------- C:\WINDOWS\system32\drivers\GEARASPIWDM.SYS
2008-01-12 09:58 . 2008-01-29 21:05 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-12 09:58 . 2008-01-12 09:58 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-29 11:58 . 2008-01-29 09:08 <DIR> d-------- C:\T-Com Daten
2007-12-28 22:19 . 2007-12-28 22:19 <DIR> d-------- C:\Programme\Hama
2007-12-28 22:19 . 2005-05-17 16:24 311,296 --a------ C:\WINDOWS\system32\AegisI5.exe
2007-12-28 22:19 . 2006-01-18 14:55 290,918 --a------ C:\WINDOWS\system32\Install7x.dll
2007-12-28 22:19 . 2006-01-12 20:46 252,928 --a------ C:\WINDOWS\system32\drivers\rt73.sys
2007-12-28 22:19 . 2005-10-17 20:50 245,376 --a------ C:\WINDOWS\system32\drivers\rt2500usb.SYS
2007-12-28 22:19 . 2005-11-30 12:33 2,048 --a------ C:\WINDOWS\system32\drivers\rt73.bin
2007-12-28 22:19 . 2005-08-19 16:51 138 --a------ C:\WINDOWS\filespec7x
2007-12-13 18:37 . 2006-11-15 16:23 38,144 -ra------ C:\WINDOWS\system32\drivers\EAPPkt.sys
2007-12-13 18:37 . 2007-12-13 18:37 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-12-13 18:37 . 2007-01-08 11:41 3,078 -ra------ C:\WINDOWS\system32\drivers\EAPPkt.inf
2007-12-13 18:36 . 2007-01-11 18:20 194,304 --a------ C:\WINDOWS\system32\drivers\RTL8187.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 09:33 --------- d-----w C:\Programme\SpeedFan
2008-01-29 20:27 --------- d-----w C:\Programme\GoLive
2008-01-29 18:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-29 08:17 --------- d-----w C:\Programme\ICQ
2008-01-28 20:05 --------- d-----w C:\Programme\AnyDVD
2008-01-25 18:48 --------- d-----w C:\Programme\DAEMON Tools
2008-01-22 19:55 --------- d-----w C:\Programme\ASF Converter(wmv to mpeg)
2008-01-22 18:41 --------- d-----w C:\Programme\Antivir
2008-01-17 18:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-17 18:26 65,536 ------w C:\WINDOWS\system32\DVDKeyAuth.dll
2008-01-17 18:26 53,248 ------w C:\WINDOWS\system32\GEARSEC.EXE
2008-01-17 18:26 213,054 ----a-w C:\WINDOWS\GSetup.exe
2008-01-17 18:24 --------- d-----w C:\Programme\DaViDeo 4
2007-12-30 18:50 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\dvdcss
2007-12-24 14:21 --------- d-----w C:\Programme\autoUSD
2007-12-24 08:29 --------- d-----w C:\Programme\Media_Manager_2004
2007-12-24 08:28 --------- d-----w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\Shareaza
2006-06-07 13:39 17,920 ----a-w C:\Dokumente und Einstellungen\Maddi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-26 10:34 457 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 15:25 94208]
"32mp3"="C:\DOKUME~1\Maddi\ANWEND~1\BINDCH~1\web browse.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 03:04 59392]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 02:06 7311360]
"nwiz"="nwiz.exe" [2005-12-10 02:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 02:06 86016]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2005-02-01 18:28 1474560]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 00:50 204800]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"nForce Tray Options"="sstray.exe" [2003-08-13 05:25 73728 C:\WINDOWS\system32\sstray.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-26 13:15 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-22 19:43 249896]
"SBCSTray"="C:\Programme\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00 15360]

C:\Dokumente und Einstellungen\Maddi\Startmen\Programme\Autostart\
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2004-12-18 13:58:09 2230272]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-18 11:35:22 113664]
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2007-12-28 22:20:02 610304]
HPAiODevice(hp officejet d series) - 1.lnk - C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe [2002-09-26 14:47:54 491582]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 00:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftickPPP]
--a------ 2006-04-08 00:50 195072 C:\Programme\Softick\Bin\PPPGate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Poweroff"=2 (0x2)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-01-27 18:09]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2006-01-12 12:56]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-11-01 12:21]
R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 09:41]
R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 09:57]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys [2004-09-06 13:40]
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys [2005-06-29 10:21]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 RTCore32;RTCore32;C:\rmma365bin\RTCore32.sys []
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2007-01-11 18:20]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 14:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 14:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 14:38]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" [2003-08-16 10:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da60caf1-6f5f-11dc-a021-000ea6505c3f}]
\Shell\AutoRun\command - F:\pushinst.exe

*Newly Created Service* - SBAPIFS

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8A00200-C6FF-D302-AFB7-E76056DA3409}]
C:\WINDOWS\system32\My_Server.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 10:36:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-30 10:37:25
ComboFix2.txt 2008-01-30 09:26:48
ComboFix3.txt 2008-01-29 16:21:00
ComboFix4.txt 2008-01-29 13:18:56


hab sie auch in der reihenfolge durchlaufen lassen...

schonma danke im vorraus und hof das es popuplos bleibt;)...
Seitenanfang Seitenende
30.01.2008, 11:53
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#45 L0m3X

HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [32mp3] C:\DOKUME~1\Maddi\ANWEND~1\BINDCH~1\web browse.exe

PC neustarten


»»
lade sdfix - im normalmodus - wähle 3 (Sophos) - scanne mit option 6 + poste den scanreport
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: