Virus o.ä. über MSN empfangen

#1 "Administrator" - 2007-07-01 18:46:28 - ComboFix 07-06-27.7 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NPF
-------\nm
-------\NPF


((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 )))))))))))))))))))))))))))))))


2007-07-01 18:31 124,756 --a------ C:\DOKUME~1\ADMINI~1\umnbxe.exe
2007-07-01 18:29 124,756 --a------ C:\DOKUME~1\ADMINI~1\ihdgjn.exe
2007-07-01 18:11 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-01 18:03 124,756 --a------ C:\DOKUME~1\ADMINI~1\qnssfg.exe
2007-07-01 18:03 <DIR> d-------- C:\install
2007-07-01 17:52 124,756 --a------ C:\DOKUME~1\ADMINI~1\aquysr.exe
2007-07-01 17:39 124,756 --a------ C:\DOKUME~1\ADMINI~1\elporp.exe
2007-07-01 15:51 24,040 --a------ C:\WINDOWS\system32\sysprinters.dll
2007-06-24 12:01 49,536 --a------ C:\WINDOWS\system32\drivers\ace9ubfw.sys
2007-06-24 12:00 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Media Center Programs
2007-06-12 20:09 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-06-12 20:09 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-06-11 22:10 <DIR> d-------- C:\Programme\Bitmap Brothers
2007-06-08 00:58 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2007-06-08 00:58 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2007-06-08 00:58 <DIR> d-------- C:\Programme\OpenAL
2007-06-06 12:28 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA
2007-06-02 17:49 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Sierra
2007-06-02 09:04 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Help


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-01 16:49:15 -------- d-----w C:\Programme\WLAN Monitor
2007-07-01 16:46:14 -------- d-----w C:\Programme\HLSW
2007-07-01 16:01:11 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Xfire
2007-07-01 15:14:08 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-01 15:14:04 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-01 12:21:01 -------- d-s---w C:\Programme\Xfire
2007-06-30 11:43:13 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Azureus
2007-06-30 10:51:01 -------- d-----w C:\Programme\FlashGet
2007-06-27 18:44:11 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Hamachi
2007-06-27 10:46:40 -------- d-----w C:\Programme\SFT Loader
2007-06-26 12:10:57 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\teamspeak2
2007-06-24 09:48:17 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-14 15:54:11 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\OpenOffice.org2
2007-06-13 13:55:40 -------- d-----w C:\Programme\FlashFXP
2007-05-31 16:29:50 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\dvdcss
2007-05-30 20:15:15 -------- d-----w C:\Programme\Little CS
2007-05-30 20:14:41 253,952 ------w C:\WINDOWS\Setup1.exe
2007-05-30 20:14:40 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-05-27 13:07:38 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-05-19 17:54:27 -------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-06 15:04:28 -------- d-----w C:\Programme\EVEMon
2007-05-06 15:01:01 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\EVEMon
2007-04-26 11:36:03 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-23 15:37:29 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-04-23 15:37:29 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-04-23 15:37:29 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-04-19 12:14:14 208,896 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-04-19 12:14:14 208,896 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-04-19 11:26:00 888,832 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-04-19 11:26:00 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-04-19 11:26:00 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-04-19 11:26:00 794,624 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-04-19 11:26:00 7,700,480 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-04-19 11:26:00 581,632 ----a-w C:\WINDOWS\system32\nvhwvid.dll
2007-04-19 11:26:00 5,644,288 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-04-19 11:26:00 5,619,712 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-04-19 11:26:00 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-04-19 11:26:00 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-04-19 11:26:00 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-04-19 11:26:00 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-04-19 11:26:00 4,543,616 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-04-19 11:26:00 3,035,136 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-04-19 11:26:00 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-04-19 11:26:00 212,992 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-04-19 11:26:00 2,924,544 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-04-19 11:26:00 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-04-19 11:26:00 159,810 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-04-19 11:26:00 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-04-19 11:26:00 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-04-19 11:26:00 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-04-19 11:26:00 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-04-19 11:26:00 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-04-19 11:26:00 1,236,992 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-04-19 11:26:00 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-04-19 11:26:00 1,011,712 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-14 21:57:06 81,034 ----a-w C:\WINDOWS\Uninstall Jade Empire.exe
2007-04-11 16:52:27 65,536 ------w C:\WINDOWS\system32\DVDKeyAuth.dll
2007-04-11 16:52:27 213,054 ----a-w C:\WINDOWS\GSetup.exe
2007-04-11 16:28:58 53,248 ----a-w C:\WINDOWS\system32\GEARSEC.EXE
2007-04-07 11:17:48 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-06 19:42:44 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}=C:\Programme\FlashGet\jccatch.dll [2007-01-15 16:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{E5A1691B-D188-4419-AD02-90002030B8EE}=C:\Programme\FlashFXP\IEFlash.dll [2006-03-31 22:27]
{E9E027BF-C3F3-4022-8F6B-8F6D39A59684}=C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll [2007-01-30 22:46]
{F156768E-81EF-470C-9057-481BA8380DBA}=C:\Programme\FlashGet\getflash.dll [2007-01-15 12:40]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 13:56]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 16:22 C:\WINDOWS\soundman.exe]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [2003-04-17 08:54]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-01 23:05]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 13:45]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 06:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-04-19 13:26 C:\WINDOWS\system32\nvmctray.dll]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"Steam"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{8BA4C7F2-E1A4-40C5-916C-CA8C86AA9B8E}"="sysprinters.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
C:\Programme\VIAudioi\SBADeck\ADeck.exe 1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
C:\Programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"d:\progra~1\steam\steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe


Contents of the 'Scheduled Tasks' folder
2007-06-24 19:44:01 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-01 18:49:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-01 18:50:21 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-01 18:50

--- E O F ---

-----------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:56:26, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://wake-janina.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDF45EFE-9FF5-40BD-AEBC-9D76236D3283}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: system32 - {8BA4C7F2-E1A4-40C5-916C-CA8C86AA9B8E} - sysprinters.dll (file missing)
O23 - Service: AccSys WiFi Component (accsvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Dawn of Magic Drivers Auto Removal (pr2ahqjb) (pr2ahqjb) - Koch Media - C:\WINDOWS\system32\pr2ahqjb.exe


PROBLEME/SYMPTOME: Verschickt sich selbst über den Windows Messenger (hab ihn so auch empfangen). Das Problemkind steckte in einer .rar datei "Fotoablum2007" oder so ähnlich. Darin war eine mir unbekanntes Dateiformat was ich leider nicht mehr einsehen kann, da ich diese schon gelöscht habe. Neuen Ordner hier entdeckt: C:\install
Der Ordner enthält 2 Dateien. Eine Anwendungsdatei "install" und eine Stapelverarbeitungsdatei für MS-DOS "credits". Nach löschen des Ordners erstellt er sich nach kurzer Zeit wieder selbst.

Bitte um eure Hilfe, mfg Marius

#2 C:\Qoobox – loeschen und Papierkorb leeren

Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\DOKUME~1\ADMINI~1\umnbxe.exe
C:\DOKUME~1\ADMINI~1\ihdgjn.exe
C:\DOKUME~1\ADMINI~1\qnssfg.exe
C:\install
C:\DOKUME~1\ADMINI~1\aquysr.exe
C:\DOKUME~1\ADMINI~1\elporp.exe
C:\WINDOWS\system32\sysprinters.dll

im linken Fenster ,wo steht "Paste List of Files/Folders to be moved"

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O21 - SSODL: system32 - {8BA4C7F2-E1A4-40C5-916C-CA8C86AA9B8E} - sysprinters.dll (file missing)

klicke: Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst
__________
MfG Argus

#3 C:\DOKUME~1\ADMINI~1\umnbxe.exe moved successfully.
C:\DOKUME~1\ADMINI~1\ihdgjn.exe moved successfully.
C:\DOKUME~1\ADMINI~1\qnssfg.exe moved successfully.
C:\install moved successfully.
C:\DOKUME~1\ADMINI~1\aquysr.exe moved successfully.
C:\DOKUME~1\ADMINI~1\elporp.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\sysprinters.dll
C:\WINDOWS\system32\sysprinters.dll NOT unregistered.
C:\WINDOWS\system32\sysprinters.dll moved successfully.

Created on 07/01/2007 21:28:36

Datei wurde mit HiJackThis gefixt. Vielen Dank für die Hilfe, kennt man ja nicht anders hier. Warte auf weitere Instruktionen falls noch was fehlt.

#4 Entferne auf C:\_OTMoveIt\ Papierkorb leeren

Antivir
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
Und scan dein Rechner

Dein Java software ist veraltet,download jre-6-windows-i586.exe
Srcolle runter nach ---->Java Runtime Environment (JRE) 6u1
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6-windows-i586.exe”

Die sache ist ja neu,wir wissen noch nicht ob MSN auch infiziert ist
__________
MfG Argus

#5 sysprinters kann nicht gelöscht werden: De Zugriff wurde verweigert.

Stellen sie sicher, das der Datenträger....


Javaupdate: gemacht!

Antivirscan: folgt soll ich wie in dem Antivir post erstmal lieber alles in Quarantäne schieben oder alles löschen?

CombiFix war nun auch von diesem Virus befallen. Ich glaube alles was ich ausführe wird infiziert.

#6 Dann entferne MSN via Software

Und dan ein neuer log von ComboFix wenn möglich

Edit
Und benenne sysprinters um
__________
MfG Argus

#7 "Administrator" - 2007-07-01 22:35:44 - ComboFix 07-06-27.7 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 )))))))))))))))))))))))))))))))


2007-07-01 18:11 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-24 12:01 49,536 --a------ C:\WINDOWS\system32\drivers\ace9ubfw.sys
2007-06-24 12:00 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Media Center Programs
2007-06-12 20:09 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-06-12 20:09 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-06-11 22:10 <DIR> d-------- C:\Programme\Bitmap Brothers
2007-06-08 00:58 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2007-06-08 00:58 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2007-06-08 00:58 <DIR> d-------- C:\Programme\OpenAL
2007-06-06 12:28 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA
2007-06-02 17:49 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Sierra
2007-06-02 09:04 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Help


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-01 20:21:17 -------- d-----w C:\Programme\SFT Loader
2007-07-01 16:49:15 -------- d-----w C:\Programme\WLAN Monitor
2007-07-01 16:46:14 -------- d-----w C:\Programme\HLSW
2007-07-01 16:01:11 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Xfire
2007-07-01 15:14:08 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-01 15:14:04 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-01 12:21:01 -------- d-s---w C:\Programme\Xfire
2007-06-30 11:43:13 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Azureus
2007-06-30 10:51:01 -------- d-----w C:\Programme\FlashGet
2007-06-27 18:44:11 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\Hamachi
2007-06-26 12:10:57 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\teamspeak2
2007-06-24 09:48:17 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-14 15:54:11 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\OpenOffice.org2
2007-06-13 13:55:40 -------- d-----w C:\Programme\FlashFXP
2007-05-31 16:29:50 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\dvdcss
2007-05-30 20:15:15 -------- d-----w C:\Programme\Little CS
2007-05-30 20:14:41 253,952 ------w C:\WINDOWS\Setup1.exe
2007-05-30 20:14:40 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-05-27 13:07:38 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-05-19 17:54:27 -------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-06 15:04:28 -------- d-----w C:\Programme\EVEMon
2007-05-06 15:01:01 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\EVEMon
2007-04-26 11:36:03 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-23 15:37:29 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-04-23 15:37:29 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-04-23 15:37:29 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-04-19 12:14:14 208,896 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-04-19 12:14:14 208,896 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-04-19 11:26:00 888,832 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-04-19 11:26:00 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-04-19 11:26:00 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-04-19 11:26:00 794,624 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-04-19 11:26:00 7,700,480 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-04-19 11:26:00 581,632 ----a-w C:\WINDOWS\system32\nvhwvid.dll
2007-04-19 11:26:00 5,644,288 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-04-19 11:26:00 5,619,712 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-04-19 11:26:00 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-04-19 11:26:00 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-04-19 11:26:00 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-04-19 11:26:00 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-04-19 11:26:00 4,543,616 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-04-19 11:26:00 3,035,136 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-04-19 11:26:00 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-04-19 11:26:00 212,992 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-04-19 11:26:00 2,924,544 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-04-19 11:26:00 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-04-19 11:26:00 159,810 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-04-19 11:26:00 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-04-19 11:26:00 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-04-19 11:26:00 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-04-19 11:26:00 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-04-19 11:26:00 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-04-19 11:26:00 1,236,992 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-04-19 11:26:00 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-04-19 11:26:00 1,011,712 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-14 21:57:06 81,034 ----a-w C:\WINDOWS\Uninstall Jade Empire.exe
2007-04-11 16:52:27 65,536 ------w C:\WINDOWS\system32\DVDKeyAuth.dll
2007-04-11 16:52:27 213,054 ----a-w C:\WINDOWS\GSetup.exe
2007-04-11 16:28:58 53,248 ----a-w C:\WINDOWS\system32\GEARSEC.EXE
2007-04-07 11:17:48 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-06 19:42:44 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}=C:\Programme\FlashGet\jccatch.dll [2007-01-15 16:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{E5A1691B-D188-4419-AD02-90002030B8EE}=C:\Programme\FlashFXP\IEFlash.dll [2006-03-31 22:27]
{E9E027BF-C3F3-4022-8F6B-8F6D39A59684}=C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll [2007-01-30 22:46]
{F156768E-81EF-470C-9057-481BA8380DBA}=C:\Programme\FlashGet\getflash.dll [2007-01-15 12:40]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 13:56]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 16:22 C:\WINDOWS\soundman.exe]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [2003-04-17 08:54]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-01 23:05]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 13:45]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 06:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-04-19 13:26 C:\WINDOWS\system32\nvmctray.dll]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"Steam"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
C:\Programme\VIAudioi\SBADeck\ADeck.exe 1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
C:\Programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"d:\progra~1\steam\steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe


Contents of the 'Scheduled Tasks' folder
2007-07-01 19:44:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-01 22:36:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-01 22:37:30
C:\ComboFix-quarantined-files.txt ... 2007-07-01 18:50
C:\ComboFix2.txt ... 2007-07-01 18:50

--- E O F ---


//EDIT: Sys.dll umbenannt und gelöscht!

#8 Und wie sieht es jetzt aus?
Vergesse nicht um C:\_OTMoveIt\ Papierkorb leeren zu löschen
Hattest du MSN entfernt?
__________
MfG Argus

#9 Ja hatte MSN entfernt vor dem ComboFIX scan. Die Sys.dll umbenannt und den kompletten Ordner gelöscht nach dem ComboFIX Scan.
Ich lass jetzt den Antivirscan nochmal komplett durchlaufen.

#10 Nach Antivir benutze CleanUP
Download
CleanUp
Wenn man CleanUp weiter benutzen will das haeckchen bei “Delete Prefetch files”entfernen!

Anleitung: unter Options so einstellen,sehe Anhang

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren

Und MSN wieder installieren


__________
MfG Argus

#11 Ich habe auch diesen VIrus bei MSN erhalten.
Mein LOG sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 23:06:54, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\Logitech\Video\FxSvr2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Lisi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/eP6SsZGXKHbm2C8lRnl-K25p0yKKapB4l9OHyc9FZRAHFdedO-WtFg$$/http://www.prosieben.de/club_community/community/icqspecial/sms/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6C2A33EE-AC06-47D8-B6C3-47B552DCC560} - C:\WINDOWS\system32\rsfsapsd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45E5686A-78A4-420C-B968-2EE543DD7B6C}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{855A7FBE-2C59-4AD6-986A-E99C517A5EF1}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: system32 - {E15E21FC-247D-45A0-9976-9BBA0BAA0334} - sysprinters.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Danke schonmal für die Hilfe

#12 Mach doch bitte deinen eigenen Thread auf...sonst entsteht hier nur verwirrung...

#13 Nah,Tokra wie ist es mit dein Rechner?
__________
MfG Argus

#14 So hab jetzt alles erledigt und werde MSN wieder installieren. Ich melde mich dann spätestens morgen Abend nochmal falls nicht vorher neue Virenmeldungen oder ähnliches auftaucht. Vielen vielen Dank Arnold. Sieht auf jedenfall schon mal super aus

mfg Tokra/Marius

#15 Gute nacht Marius
__________
MfG Argus