Cid Spam-pop Ups

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.01.2008, 17:10
...neu hier

Beiträge: 4
#46 Hey zusammen!

Ich hoffe ihr könnt mir helfen. Hab mir auch diese CiD Pup-up Spams eingefangen! Hab ein paar mal AntiVir und Ad-aware drüberlaufen lassen aber sie sind immernoch da. Bin leider ne Niete in PC-Dingen, aber wenn ich das richtig verstanden hab könnt mir mir anhand der HiJackthis und Deljob Berichte helfen. Wäre echt super und danke schonmal im voraus!

Schöne Grüße
Jenny

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:41, on 30.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\3M\PSNLite\PsnLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Hijack This\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [draw mags wait locks] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Road Axis Draw Mags\Grid Bows.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175693135000
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRpc.exe (file missing)
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRT.exe (file missing)
O23 - Service: eTrust Antivirus Job Server (InoTask) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoTask.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9876 bytes



--------------------------------------------------------
File(s) moved to C:\deljob

A682214890EDDC2C.job
--------------------------------------------------------
Files remaining after cleaning

--------------------------------------------------------
App data folders

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 0867-86BD

Verzeichnis von C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten

29.01.2008 20:06 <DIR> .
29.01.2008 20:06 <DIR> ..
05.09.2006 15:32 <DIR> 3M
21.01.2008 18:03 <DIR> Adobe
16.06.2006 22:49 <DIR> AdobeAUM
15.01.2007 11:39 <DIR> AdobeUM
10.11.2003 17:10 <DIR> Ahead
04.05.2007 19:42 <DIR> APPLEC~1 Apple Computer
27.12.2004 13:39 <DIR> Azureus
28.12.2007 01:03 <DIR> BITTOR~1 BitTorrent
03.06.2007 16:32 <DIR> Canon
10.11.2003 17:09 <DIR> CYBERL~1 CyberLink
29.01.2008 20:45 <DIR> DASHHO~1 Dash Hope Bin
07.10.2007 14:44 <DIR> DivX
05.08.2007 18:36 <DIR> Google
09.09.2005 12:58 <DIR> Help
15.03.2004 16:11 <DIR> ICQ
17.08.2005 15:24 <DIR> ICQLite
14.06.2004 12:59 <DIR> IDENTI~1 Identities
14.09.2003 17:42 <DIR> INTERT~1 InterTrust
15.03.2004 16:19 <DIR> KAZAAL~1 Kazaa Lite
28.04.2005 16:02 <DIR> Keyhole
04.12.2005 13:04 <DIR> last.fm
24.07.2007 11:22 <DIR> Lavasoft
16.06.2006 22:49 <DIR> LEADER~1 Leadertech
15.09.2003 10:00 <DIR> MACROM~1 Macromedia
05.09.2006 15:39 <DIR> MICROS~1 Microsoft
12.09.2004 13:16 <DIR> MSN6
13.04.2007 15:17 <DIR> MYPHON~1 MyPhoneExplorer
18.11.2004 16:20 <DIR> RAPTIS~1 Raptisoft
21.02.2007 16:15 <DIR> RATIOP~1 ratiopharm
23.11.2005 11:50 <DIR> Real
01.04.2007 12:50 <DIR> Samsung
29.01.2008 21:55 <DIR> Skype
25.12.2006 13:17 <DIR> Snapfish
02.04.2007 22:29 <DIR> SONYER~1 Sony Ericsson
18.12.2004 23:28 <DIR> Sun
02.03.2006 23:03 <DIR> Symantec
03.04.2007 15:02 <DIR> Teleca
14.01.2008 00:23 <DIR> vlc
0 Datei(en) 0 Bytes
40 Verzeichnis(se), 15.058.620.416 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 0867-86BD

Verzeichnis von C:\Dokumente und Einstellungen\All Users

--------------------------------------------------------
Seitenanfang Seitenende
30.01.2008, 17:57
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#47 hallo Pandora

poste bitte das log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.01.2008, 19:07
...neu hier

Beiträge: 4
#48 Hey,
danke für die schnelle Antwort!

ComboFix 08-01-30.6 - JScheicht 2008-01-30 19:02:39.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.215 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\JScheicht\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z766PL0A\ComboFix[1].exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\Fonts\acrsecI.fon

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 ))))))))))))))))))))))))))))))
.

2008-01-30 17:02 . 2008-01-30 17:02 <DIR> d-------- C:\deljob
2008-01-30 16:59 . 2008-01-30 16:59 <DIR> d-------- C:\Programme\Hijack This
2008-01-29 20:45 . 2008-01-29 20:45 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-29 20:07 . 2008-01-29 20:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Road Axis Draw Mags
2008-01-29 20:06 . 2008-01-29 20:06 <DIR> d-------- C:\Programme\Dash Hope Bin
2008-01-29 20:06 . 2008-01-29 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\Dash Hope Bin
2008-01-14 00:23 . 2008-01-14 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\vlc
2008-01-14 00:20 . 2008-01-14 00:20 <DIR> d-------- C:\Programme\VideoLAN
2008-01-14 00:16 . 2008-01-27 23:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-14 00:16 . 2008-01-14 00:16 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-25 13:51 . 2007-12-25 13:51 <DIR> d-------- C:\Programme\Happyneuron
2007-12-22 23:38 . 2008-01-02 16:38 <DIR> d-------- C:\Programme\Phenomedia AG
2007-12-12 12:20 . 2007-12-12 12:20 162 --ah----- C:\~$matologie 1a.doc
2007-12-10 22:19 . 2007-12-10 21:54 37,888 --a------ C:\AAA - Formular vor Antritt bei uns einzureichen 2.doc
2007-12-10 22:19 . 2007-12-10 21:52 36,864 --a------ C:\Merkblattfür SOKRATESoutgoings.doc
2007-12-10 22:19 . 2007-12-10 21:55 29,696 --a------ C:\AAA - Formular vor Antritt bei uns einzureichen.doc
2007-12-10 22:19 . 2007-12-10 21:56 28,160 --a------ C:\AAA - Formular Bestaetigung Gasthochschule an AAA faxen.doc
2007-12-10 11:45 . 2007-12-12 12:19 30,208 --a------ C:\Hämatologie 1a.doc
2007-12-10 11:44 . 2007-12-10 11:49 29,696 --a------ C:\Hämatostase.doc
2007-12-02 21:47 . 2007-12-02 22:26 32,256 --a------ C:\Lebenslauf.doc

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 21:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-29 21:23 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-29 20:55 --------- d-----w C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\Skype
2008-01-29 18:55 54,790 ----a-w C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\wklnhst.dat
2008-01-22 23:09 --------- d-----w C:\Programme\Winamp
2008-01-09 18:44 --------- d-----w C:\Programme\StarMoney 5.0 S-Edition
2007-12-28 00:03 --------- d-----w C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\BitTorrent
2007-12-23 12:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-10 23:46 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-03-20 12:35 82,560 ----a-w C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-12-26 11:18 53 ----a-w C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\tvmcwrd.dll
2004-12-23 11:15 230,187 ----a-w C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\tvmknwrd.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 12:29 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-10-06 13:16 5058560]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 19:33 57344]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-05 19:36 180269]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"QuickTime Task"="D:\QuickTime\qttask.exe" [2007-02-16 09:54 282624]
"draw mags wait locks"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Road Axis Draw Mags\Grid Bows.exe" [2008-01-30 18:57 2493952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Post-it© Software Notes Lite.lnk - C:\Programme\3M\PSNLite\PsnLite.exe [2003-10-09 13:08:32 1622016]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a------ 2003-06-17 16:14 50688 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
D:\ICQ\ICQNet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Openwares LiveUpdate]
--a------ 2003-12-13 18:17 61440 C:\Program Files\LiveUpdate\LiveUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
D:\Yahoo!\MESSEN~1\ypager.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-07 11:53]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-07 11:53]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-08-07 15:53]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04]
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2003-05-22 16:44]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 08:47]
R3 uscsc108;uscsc108;C:\WINDOWS\system32\DRIVERS\uscsc108.sys [2003-03-09 17:41]
S2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe []
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe []
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe []
S3 DCamUSBIntel;Minolta DiMAGE remote camera driver;C:\WINDOWS\system32\DRIVERS\mltcap.sys [2003-02-10 06:56]
S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys []
S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 14:58]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 14:58]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 14:58]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 13:58]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS);C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 13:58]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 13:58]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM);C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 13:58]
S3 USBVSP;USBVSP;C:\WINDOWS\system32\drivers\Usbvsp.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 19:06:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-30 19:07:46
ComboFix-quarantined-files.txt 2008-01-30 18:07:25
.
2008-01-09 12:34:27 --- E O F ---
Seitenanfang Seitenende
30.01.2008, 19:48
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#49 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [draw mags wait locks] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Road Axis Draw Mags\Grid Bows.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

GV Killer
Download GV-Killer zum Desktop

Doppelklick GV-Killer und Editor wird sich oeffnen
Wenn schon ein text da steht entferne es und kopiere dass unterstehende wieder rein:

C:\deljob
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Road Axis Draw Mags
C:\Programme\Dash Hope Bin
C:\Dokumente und Einstellungen\JScheicht\Anwendungsdaten\Dash Hope Bin

Schliesse den Editor und Speichere die Daten
Klicke " Kill on reboot " und lass dein Rechner neu starten
GV_Killer.exe wird jetzt neu starten und gebe die Erlaubnis die Ordner zu entfernen
Wenn es gelungen ist GV_Killer abschliessen
__________
MfG Argus
Seitenanfang Seitenende
30.01.2008, 20:47
...neu hier

Beiträge: 4
#50 Super scheint weg zu sein! Vieeelen lieben Dank für die Hilfe!
Seitenanfang Seitenende
30.01.2008, 20:54
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#51 Bitte schön ;)
Neben Antivir steht auch noch CA-eTrust auf dein Rechnen
Welche von den beiden wird jetzt benutzt?
__________
MfG Argus
Seitenanfang Seitenende
30.01.2008, 21:00
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#52 Hab eben meine Brille sauber gemacht ;)

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRpc.exe (file missing)
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRT.exe (file missing)
O23 - Service: eTrust Antivirus Job Server (InoTask) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoTask.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Java
Dein Java software ist veraltet,
Download jre-6u4-windows-i586-p-iftw.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u4-windows-i586-p-iftw.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u4-windows-i586-p-iftw.exe

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK
__________
MfG Argus
Seitenanfang Seitenende
31.01.2008, 14:44
...neu hier

Beiträge: 4
#53 So habe alles befolgt :-)
Danke Arnold!

Schöne Grüße und ein dreifaches Kölle Alaaf!
Seitenanfang Seitenende
06.02.2008, 12:12
...neu hier

Beiträge: 1
#54 Hallo!

Auch ich habe mit Cid so meine Probleme und bin noch dazu nicht vom Fach. Würde mich wirklich freuen, wenn ihr mir helfen könntet.

Danke im Voraus
Alex

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:56, on 06.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\admServ.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\JustVoip.com\JustVoip\JustVoip.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\DOKUME~1\Alex\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.finderg.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [1 mags 16 more] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Admin Inter 1 Mags\More bone.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Kopie 1)" /M "Stylus DX4200" /EF "HKCU"
O4 - HKCU\..\Run: [JustVoip] "C:\Programme\JustVoip.com\JustVoip\JustVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [book ante] C:\DOKUME~1\Alex\ANWEND~1\ELSEPL~1\AXISNEW.exe
O4 - HKCU\..\Run: [AlarmWiz] C:\Programme\AlarmWiz\alarmwiz.exe startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sansa Updater Service (SansaService) - Unknown owner - C:\Programme\SanDisk\Sansa Updater\SansaSvr.exe (file missing)


--------------------------------------------------------
File(s) moved to C:\deljob

AE6BBBE991882CA5.job
--------------------------------------------------------
Files remaining after cleaning

--------------------------------------------------------
App data folders

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 320D-180E

Verzeichnis von C:\Dokumente und Einstellungen\Alex\Anwendungsdaten

04.03.2007 03:37 <DIR> .
04.03.2007 03:37 <DIR> ..
25.08.2006 07:32 <DIR> IDENTI~1 Identities
25.08.2006 07:51 <DIR> ACER Acer
29.08.2006 23:21 <DIR> YOU'VE~1 You've Got Pictures Screensaver
29.08.2006 23:21 <DIR> AOL
25.08.2006 07:11 <DIR> MICROS~1 Microsoft
04.03.2007 03:49 <DIR> MACROM~1 Macromedia
22.03.2007 22:37 <DIR> MOZILLA Mozilla
23.03.2007 19:43 <DIR> OPENOF~1.ORG OpenOffice.org2
23.03.2007 19:54 <DIR> CYBERL~1 CyberLink
28.03.2007 21:26 <DIR> vlc
01.04.2007 12:03 <DIR> ADOBE Adobe
01.04.2007 18:28 <DIR> dvdcss
02.04.2007 21:34 <DIR> SLYSOFT SlySoft
07.04.2007 11:05 <DIR> ADOBEUM AdobeUM
09.04.2007 18:29 <DIR> APPLEC~1 Apple Computer
15.04.2007 14:21 <DIR> BITTOR~1 BitTorrent
29.04.2007 11:06 <DIR> DIVX DivX
01.05.2007 21:42 <DIR> SPARVOIP SparVoip
03.05.2007 23:46 <DIR> SUN Sun
08.05.2007 22:20 <DIR> GOOGLE Google
04.06.2007 18:12 <DIR> LAVASOFT Lavasoft
17.06.2007 14:36 <DIR> SKYPE Skype
28.06.2007 20:21 <DIR> INSTAL~1 InstallShield
16.09.2007 10:46 <DIR> ARCSOFT ArcSoft
16.09.2007 20:01 <DIR> JUSTVOIP JustVoip
18.09.2007 22:29 <DIR> REAL Real
18.09.2007 22:29 <DIR> MEDIAP~1 Media Player Classic
12.10.2007 18:00 <DIR> EMULE eMule
20.10.2007 12:04 <DIR> NERO Nero
08.12.2007 20:58 <DIR> ELSEPL~1 Else plus
0 Datei(en) 0 Bytes
32 Verzeichnis(se), 4.581.523.456 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 320D-180E



ComboFix 08-02.05.3 - Alex 2008-02-06 12:02:31.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.444 [GMT 1:00]
ausgeführt von:: C:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\NPF


((((((((((((((((((((((( Dateien erstellt von 2008-01-06 bis 2008-02-06 ))))))))))))))))))))))))))))))
.

2008-02-06 11:44 . 2008-02-06 11:44 <DIR> d-------- C:\deljob
2008-02-06 11:43 . 2008-02-06 11:43 63,174 --a------ C:\deljob.exe
2008-02-06 11:42 . 2008-02-06 11:42 1,593,889 --a------ C:\ComboFix.exe
2008-02-06 11:38 . 2008-02-06 11:38 <DIR> d-------- C:\Programme\Hijack This
2008-02-06 11:37 . 2008-02-06 11:37 598,816 --a------ C:\hijackthissetupv2.0.2.exe
2008-01-22 22:21 . 2008-01-22 22:21 <DIR> d-------- C:\Programme\AlarmWiz
2008-01-16 17:32 . 2008-01-16 17:32 <DIR> d-------- C:\Programme\Else plus
2008-01-06 11:30 . 2008-01-06 11:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roam Program Comp About

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-22 13:01 --------- d-----w C:\Programme\cladDVD.NET 3.5.7
2007-12-16 09:16 --------- d-----w C:\Dokumente und Einstellungen\Spiel\Anwendungsdaten\Else plus
2007-12-16 09:11 --------- d-----w C:\Dokumente und Einstellungen\Spiel\Anwendungsdaten\Nero
2007-12-16 09:11 --------- d-----w C:\Dokumente und Einstellungen\Spiel\Anwendungsdaten\Grisoft
2007-12-15 21:35 --------- d-----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Else plus
2007-12-15 21:30 --------- d-----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Grisoft
2007-12-09 03:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-12-08 19:58 --------- d-----w C:\Programme\DivoCodec
2007-12-08 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Admin Inter 1 Mags
2007-12-08 19:58 --------- d-----w C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Else plus
2007-12-04 23:04 74,912 ----a-w C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-14 07:26 450,560 ----a-w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-07-01 14:39 92,064 ----a-w C:\Dokumente und Einstellungen\Alex\mqdmmdm.sys
2007-07-01 14:39 9,232 ----a-w C:\Dokumente und Einstellungen\Alex\mqdmmdfl.sys
2007-07-01 14:39 79,328 ----a-w C:\Dokumente und Einstellungen\Alex\mqdmserd.sys
2007-07-01 14:39 66,656 ----a-w C:\Dokumente und Einstellungen\Alex\mqdmbus.sys
2007-07-01 14:39 6,208 ----a-w C:\Dokumente und Einstellungen\Alex\mqdmcmnt.sys
2007-07-01 14:39 5,936 ----a-w C:\Dokumente und Einstellungen\Alex\mqdmwhnt.sys
2007-07-01 14:39 4,048 ----a-w C:\Dokumente und Einstellungen\Alex\mqdmcr.sys
2007-07-01 14:39 25,600 ----a-w C:\Dokumente und Einstellungen\Alex\usbsermptxp.sys
2007-07-01 14:39 22,768 ----a-w C:\Dokumente und Einstellungen\Alex\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-04-02 21:52 497664]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"EPSON Stylus DX4200 Series (Kopie 1)"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 04:00 98304]
"JustVoip"="C:\Programme\JustVoip.com\JustVoip\JustVoip.exe" [2008-01-07 00:45 8770864]
"book ante"="C:\DOKUME~1\Alex\ANWEND~1\ELSEPL~1\AXISNEW.exe" [ ]
"AlarmWiz"="C:\Programme\AlarmWiz\alarmwiz.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 12:17 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 12:17 118784]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 16:11 7577600]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-06-12 16:11 86016]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 19:29 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 12:54 3080704]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 22:15 593920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:53 249896]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 09:07 827392]
"1 mags 16 more"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Admin Inter 1 Mags\More bone.exe" [2008-02-06 11:48 4640256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1 mags 16 more]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Admin Inter 1 Mags\axis army.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADMTray.exe]
--a------ 2005-10-24 16:45 2462208 C:\Acer\Empowering Technology\admtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-09-20 15:35 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\book ante]
C:\DOKUME~1\Alex\ANWEND~1\ELSEPL~1\AXISNEW.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Carpo USB Phone]
--a------ 2006-03-24 16:03 475136 C:\Programme\Carpo\Carposoftphone\Carpo USB Phone.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comp about extra bin]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roam Program Comp About\logo bend.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell AIO Printer A940]
--a------ 2003-02-17 17:00 86102 C:\Programme\Dell AIO Printer A940\dlbabmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
--a------ 2005-12-27 15:50 69632 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4200 Series]
--a------ 2005-03-08 04:00 98304 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4200 Series (Kopie 1)]
--a------ 2005-03-08 04:00 98304 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2006-01-24 18:00 397312 C:\Acer\Empowering Technology\eRecovery\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JustVoip]
--a------ 2008-01-07 00:45 8770864 C:\programme\justvoip.com\justvoip\justvoip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-12-05 22:55 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 09:51 1836328 C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-06-12 16:11 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2006-12-06 18:37 69216 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]
--a------ 2007-05-02 19:00 55368 C:\Programme\SanDisk\Sansa Updater\SansaDispatch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-02-13 20:29 35328 C:\Programme\Winamp\winampa.exe

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2005-04-25 12:53]
R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys [2004-12-17 17:14]
R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 12:41]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 12:41]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
S3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 12:06:56
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\Programme\WinRAR\rarext.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Acer\Empowering Technology\admServ.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\DOKUME~1\Alex\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-06 12:08:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-06 11:08:04
.
2008-01-14 16:21:11 --- E O F ---
Seitenanfang Seitenende
06.02.2008, 12:43
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#55 Hallo alexkmhs

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

Zitat

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"book ante"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1 mags 16 more"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\book ante]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1 mags 16 more]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comp about extra bin]

Folder::
C:\Programme\DivoCodec
C:\Programme\Else plus
C:\Dokumente und Einstellungen\Spiel\Anwendungsdaten\Else plus
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Else plus
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Else plus
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roam Program Comp About
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Admin Inter 1 Mags

File::
C:\WINDOWS\tasks\AE6BBBE991882CA5.job

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden - tippe 1


««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
15.02.2008, 16:44
...neu hier

Beiträge: 3
#56 Habe auch dieses Problem mit Cid
Vllt kann mir ja einer von euch da weiterhelfen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:41:34, on 15.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer 7 optimiert für MSN
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PhilipsSA33XXDM] C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe OS_STARTUP
O4 - HKLM\..\Run: [Ante gpl bold close] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hope Iso Ante Gpl\funk win.exe
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Programme\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=022508 serial=WO12WRX-0000035-UZU lang=DE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [part chin math idol] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That size part chin\trans browse.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [The cake] C:\DOKUME~1\gpf\ANWEND~1\RECTFI~1\burnmessbyte.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O21 - SSODL: printers - {C76A7044-8B65-406A-85B3-A18127F0A463} - libmsns.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 7161 bytes

lg
Seitenanfang Seitenende
15.02.2008, 17:44
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#57 Hallo gpf

poste bitte das log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
15.02.2008, 18:17
...neu hier

Beiträge: 3
#58 Hoffe das kann Aufschluss geben, ich kann da jedenfalls nichts rauslesen :/

ComboFix 08-02-15.2 - gpf 2008-02-15 18:10:31.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.224 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\gpf\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\gpf\Desktop\CFScript
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\gpf\aria.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-15 bis 2008-02-15 ))))))))))))))))))))))))))))))
.

2008-02-15 16:40 . 2008-02-15 16:40 <DIR> d-------- C:\Programme\Trend Micro
2008-02-15 14:53 . 2008-02-15 14:53 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-02-15 13:56 . 2008-02-15 13:56 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-02-15 13:56 . 2008-02-15 13:56 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-02-15 07:41 . 2008-02-15 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\Sunbelt Software
2008-02-15 07:40 . 2008-02-15 07:40 <DIR> d-------- C:\Programme\Sunbelt Software
2008-02-15 07:40 . 2008-02-15 07:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-02-14 15:33 . 2008-02-14 15:33 <DIR> d-------- C:\Programme\Rect Find Fork
2008-02-14 15:33 . 2008-02-14 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That size part chin
2008-02-10 11:37 . 2008-02-10 11:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2008-02-10 11:35 . 2008-02-10 11:36 <DIR> d-------- C:\WINDOWS\ShellNew
2008-02-10 11:35 . 2008-02-10 11:36 <DIR> d-------- C:\Programme\WordPerfect Office 12
2008-02-10 11:20 . 2008-02-10 11:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-10 11:20 . 2008-02-10 11:20 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-02 17:39 . 2008-02-15 14:54 <DIR> d-------- C:\Programme\mIRC
2008-02-02 17:39 . 2008-02-15 14:54 <DIR> d-------- C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\mIRC
2008-01-28 19:09 . 2008-01-28 19:09 159,744 --a------ C:\WINDOWS\LgxSetup.exe
2008-01-23 19:08 . 2008-01-23 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\gpf\LimeWire Store Purchased

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-15 13:53 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\Rect Find Fork
2008-02-14 14:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hope Iso Ante Gpl
2008-02-11 08:59 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\LimeWire
2008-02-10 10:43 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\OpenOffice.org2
2008-02-10 10:42 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\Corel
2008-02-10 10:41 --------- d-----w C:\Programme\CyberLink
2008-02-10 10:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-02-10 10:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Corel
2008-02-10 10:25 --------- d-----w C:\Programme\eMule
2008-02-05 15:18 --------- d-----w C:\Programme\LimeWire
2008-02-02 09:16 --------- d-----w C:\Programme\ICQ6
2008-01-26 12:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-01-23 21:01 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-23 21:01 --------- d-----w C:\Programme\AVS4YOU
2008-01-23 21:00 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-01-23 18:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-24 18:58 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\ArcSoft
2007-12-24 18:52 --------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2007-12-24 18:52 --------- d-----w C:\Programme\ArcSoft
2007-12-24 18:51 --------- d-----w C:\Programme\Philips
2007-12-20 16:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 19:31 1372160]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 18:04 139264]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]
"The cake"="C:\DOKUME~1\gpf\ANWEND~1\RECTFI~1\burnmessbyte.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40 155648]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 08:12 90112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"PhilipsSA33XXDM"="C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe" [2007-08-07 10:30 884736]
"WordPerfect Office 1215"="C:\Programme\WordPerfect Office 12\Programs\Registration.exe" [2004-04-20 16:04 733184]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 17:35 32768]
"part chin math idol"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That size part chin\trans browse.exe" [2008-02-15 18:01 2263552]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^gpf^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
path=C:\Dokumente und Einstellungen\gpf\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"helpsvc"=2 (0x2)
"gusvc"=3 (0x3)
"AntiVirScheduler"=2 (0x2)
"usnjsvc"=3 (0x3)
"SLService"=2 (0x2)
"NBService"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-02-15 14:53]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 10:38]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - SBAPIFS
*Newly Created Service* - SBHR
.
Inhalt des "geplante Tasks" Ordners
"2008-02-15 16:18:23 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-02-15 17:00:01 C:\WINDOWS\Tasks\A91BCDBC91844594.job"
- c:\dokume~1\gpf\anwend~1\rectfi~1\Blah bags second.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 18:13:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-15 18:14:32
ComboFix-quarantined-files.txt 2008-02-15 17:14:21
Seitenanfang Seitenende
15.02.2008, 21:02
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#59 Entferne
Start -> Einstellungen -> Systemsteuerung -> Software > AskTBar

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [Ante gpl bold close] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hope Iso Ante Gpl\funk win.exe
O4 - HKLM\..\Run: [part chin math idol] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That size part chin\trans browse.exe
O4 - HKCU\..\Run: [The cake] C:\DOKUME~1\gpf\ANWEND~1\RECTFI~1\burnmessbyte.exe
O21 - SSODL: printers - {C76A7044-8B65-406A-85B3-A18127F0A463} - libmsns.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Folder::
C:\Programme\Rect Find Fork
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That size part chin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hope Iso Ante Gpl
C:\DOKUME~1\gpf\ANWEND~1\RECTFI~1

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"The cake"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"part chin math idol"=-

File::
C:\WINDOWS\Tasks\A91BCDBC91844594.job
2.
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen

Combofix wird jetzt starten.
Nach neustart des Rechners,poste das log von ComboFix
__________
MfG Argus
Seitenanfang Seitenende
15.02.2008, 22:21
...neu hier

Beiträge: 3
#60 Konnte 2 Datein nicht finden
O4 - HKLM\..\Run: [Ante gpl bold close] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hope Iso Ante Gpl\funk win.exe
O21 - SSODL: printers - {C76A7044-8B65-406A-85B3-A18127F0A463} - libmsns.dll (file missing)

ComboFix 08-02-15.2 - gpf 2008-02-15 22:17:41.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.519 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\gpf\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-15 bis 2008-02-15 ))))))))))))))))))))))))))))))
.

2008-02-15 16:40 . 2008-02-15 16:40 <DIR> d-------- C:\Programme\Trend Micro
2008-02-15 14:53 . 2008-02-15 14:53 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-02-15 13:56 . 2008-02-15 13:56 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-02-15 13:56 . 2008-02-15 13:56 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-02-15 07:41 . 2008-02-15 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\Sunbelt Software
2008-02-15 07:40 . 2008-02-15 07:40 <DIR> d-------- C:\Programme\Sunbelt Software
2008-02-15 07:40 . 2008-02-15 07:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-02-14 15:33 . 2008-02-14 15:33 <DIR> d-------- C:\Programme\Rect Find Fork
2008-02-14 15:33 . 2008-02-14 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That size part chin
2008-02-10 11:37 . 2008-02-10 11:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2008-02-10 11:35 . 2008-02-10 11:36 <DIR> d-------- C:\WINDOWS\ShellNew
2008-02-10 11:35 . 2008-02-10 11:36 <DIR> d-------- C:\Programme\WordPerfect Office 12
2008-02-10 11:20 . 2008-02-10 11:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-10 11:20 . 2008-02-10 11:20 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-02 17:39 . 2008-02-15 14:54 <DIR> d-------- C:\Programme\mIRC
2008-02-02 17:39 . 2008-02-15 20:18 <DIR> d-------- C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\mIRC
2008-01-28 19:09 . 2008-01-28 19:09 159,744 --a------ C:\WINDOWS\LgxSetup.exe
2008-01-23 19:08 . 2008-01-23 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\gpf\LimeWire Store Purchased

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-15 21:02 --------- d-----w C:\Programme\AskTBar
2008-02-15 13:53 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\Rect Find Fork
2008-02-14 14:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hope Iso Ante Gpl
2008-02-11 08:59 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\LimeWire
2008-02-10 10:43 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\OpenOffice.org2
2008-02-10 10:42 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\Corel
2008-02-10 10:41 --------- d-----w C:\Programme\CyberLink
2008-02-10 10:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-02-10 10:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Corel
2008-02-10 10:25 --------- d-----w C:\Programme\eMule
2008-02-05 15:18 --------- d-----w C:\Programme\LimeWire
2008-02-02 09:16 --------- d-----w C:\Programme\ICQ6
2008-01-26 12:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-01-23 21:01 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-23 21:01 --------- d-----w C:\Programme\AVS4YOU
2008-01-23 21:00 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-01-23 18:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-24 18:58 --------- d-----w C:\Dokumente und Einstellungen\gpf\Anwendungsdaten\ArcSoft
2007-12-24 18:52 --------- d-----w C:\Programme\Gemeinsame Dateien\ArcSoft
2007-12-24 18:52 --------- d-----w C:\Programme\ArcSoft
2007-12-24 18:51 --------- d-----w C:\Programme\Philips
2007-12-20 16:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 19:31 1372160]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 18:04 139264]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]
"The cake"="C:\DOKUME~1\gpf\ANWEND~1\RECTFI~1\burnmessbyte.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40 155648]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 08:12 90112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"PhilipsSA33XXDM"="C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe" [2007-08-07 10:30 884736]
"WordPerfect Office 1215"="C:\Programme\WordPerfect Office 12\Programs\Registration.exe" [2004-04-20 16:04 733184]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 17:35 32768]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^gpf^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
path=C:\Dokumente und Einstellungen\gpf\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"helpsvc"=2 (0x2)
"gusvc"=3 (0x3)
"AntiVirScheduler"=2 (0x2)
"usnjsvc"=3 (0x3)
"SLService"=2 (0x2)
"NBService"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-02-15 14:53]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 10:38]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
S3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-02-15 16:18:23 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-02-15 21:00:00 C:\WINDOWS\Tasks\A91BCDBC91844594.job"
- c:\dokume~1\gpf\anwend~1\rectfi~1\Blah bags second.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 22:19:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-15 22:20:28
ComboFix-quarantined-files.txt 2008-02-15 21:20:14
ComboFix2.txt 2008-02-15 21:13:23
ComboFix3.txt 2008-02-15 17:14:33
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: