Habe Virus über MSN eingefangen

#16

Zitat

Arnold postete
Schau mal nach ob was im log steht
C:\_OTMoveIt\MovedFiles\

Nee genau das gleiche wie ich oben reinkopiert habe...hmmm

#17 Fange mal mit Hijack This An
Entferne die text Dateien von Combofixt auf C:\
Qoobox
Combofix-quarantined-files.txt
Combofix2.txt
Combofix.txt

Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Download DeljobZip zum Desktop
Packe die Datei aus.
Doppelklick: Deljob.exe
Ein logfile wird sich oeffnen (logit.txt)
Kopiere den Inhalt des Berichts “logit.txt ”in diesen Thread


Entferne Combofix vom Desktop und lade neu
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Wir müssen sicher das du Morgen wieder Viren hast,oder?
__________
MfG Argus

#18

Zitat

Arnold postete
Fange mal mit Hijack This An
Entferne die text Dateien von Combofixt auf C:\
Qoobox
Combofix-quarantined-files.txt
Combofix2.txt
Combofix.txt

Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Download DeljobZip zum Desktop
Packe die Datei aus.
Doppelklick: Deljob.exe
Ein logfile wird sich oeffnen (logit.txt)
Kopiere den Inhalt des Berichts “logit.txt ”in diesen Thread


Entferne Combofix vom Desktop und lade neu
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Wir müssen sicher das du Morgen wieder Viren hast,oder?

Was meinst du mit Morge wieder Viren?

Ok habe mal die Ordnereinstellungen so übernommen und hier der neue Combofix logfile:

"Onur" - 2007-07-03 20:55:43 - ComboFix 07-07-03.9 - Service Pack 1


((((((((((((((((((((((((( Files Created from 2007-06-03 to 2007-07-03 )))))))))))))))))))))))))))))))


2007-07-03 20:20 <DIR> d-------- C:\install
2007-07-03 00:48 <DIR> d-------- C:\DOKUME~1\Onur\DoctorWeb
2007-07-02 23:09 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-01 19:23 <DIR> d-------- C:\WINDOWS\SxsCaPendDel


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-03 16:54:15 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-03 16:54:15 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-03 16:52:54 1,057 --sha-w C:\WINDOWS\system32\mmf.sys
2007-07-02 21:07:18 -------- d-----w C:\Programme\MSN Messenger
2004-02-11 23:25:47 56 --sh--r C:\WINDOWS\system32\1B90C9902E.sys
2002-08-29 02:43:36 13,312 --sh--r C:\WINDOWS\system32\ctfmon.exe
2004-03-04 22:08:22 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2005-11-10 14:22 184423 --a------ C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-07-12 16:33 C:\WINDOWS\mixer.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-05-28 20:33]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-07-07 17:03]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 16:24]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 16:14]
"nwiz"="nwiz.exe" [2005-12-10 04:06 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 18:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:43]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 15:44]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" []
"Steam"="" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"ctfmon.exe"=ctfmon.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"WMedia Player"=wmedia32.exe
"NvCplScan"=nvsc32.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"ctfmon.exe"=ctfmon.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"=ctfmon.exe
"NvCplScan"=nvsc32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{78DB2E0D-4363-4036-9BB0-B4916A09EC32}"="sysprinters.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMedia Player]
wmedia32.exe

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT

Contents of the 'Scheduled Tasks' folder
2007-05-18 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-03 20:56:01
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-03 20:56:29

--- E O F ---

#19 Sieht ja gut aus,
jetzt die HJ sachen und was da noch steht dan kann MSN wieder installiert werden
__________
MfG Argus

#20

Zitat

Arnold postete
Sieht ja gut aus, http://www.cosgan.de/images/midi/froehlich/b020.gif
jetzt die HJ sachen und was da noch steht dan kann MSN wieder installiert werden

Ja und hier die Hijackthis......siehts echt gut aus? Das ist ja Klasse, vielen vielen Dank!


Logfile of HijackThis v1.99.1
Scan saved at 21:19:35, on 03.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Onur\Desktop\Hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.galatasaray.com/
O1 - Hosts: 195.158.171.60 amateur.de
O1 - Hosts: 195.158.171.60 anal.com
O1 - Hosts: 195.158.171.60 anal.de
O1 - Hosts: 195.158.171.60 anime.com
O1 - Hosts: 195.158.171.60 anime.de
O1 - Hosts: 195.158.171.60 asian.com
O1 - Hosts: 195.158.171.60 asian.de
O1 - Hosts: 195.158.171.60 bestofchat.com
O1 - Hosts: 195.158.171.60 bestsingle.it
O1 - Hosts: 195.158.171.60 blowjob.com
O1 - Hosts: 195.158.171.60 blowjob.de
O1 - Hosts: 195.158.171.60 boldchat.com
O1 - Hosts: 195.158.171.60 bravenet.com
O1 - Hosts: 195.158.171.60 calcio.redbaron.it
O1 - Hosts: 195.158.171.60 canalchat.com
O1 - Hosts: 195.158.171.60 causerie.fr
O1 - Hosts: 195.158.171.60 chat.com
O1 - Hosts: 195.158.171.60 chat.de
O1 - Hosts: 195.158.171.60 chat.lycos.de
O1 - Hosts: 195.158.171.60 chat.lycos.it
O1 - Hosts: 195.158.171.60 chat.msn.com
O1 - Hosts: 195.158.171.60 chat.tiscali.it
O1 - Hosts: 195.158.171.60 chat.voila.fr
O1 - Hosts: 195.158.171.60 chat.yahoo.com
O1 - Hosts: 195.158.171.60 chatandco.fr
O1 - Hosts: 195.158.171.60 chatcity.de
O1 - Hosts: 195.158.171.60 chatta.it
O1 - Hosts: 195.158.171.60 chiacchierata.fr
O1 - Hosts: 195.158.171.60 cumshot.de
O1 - Hosts: 195.158.171.60 ebony.com
O1 - Hosts: 195.158.171.60 ebony.de
O1 - Hosts: 195.158.171.60 erotik.de
O1 - Hosts: 195.158.171.60 fisting.com
O1 - Hosts: 195.158.171.60 fisting.de
O1 - Hosts: 195.158.171.60 flirt-fever.de
O1 - Hosts: 195.158.171.60 friendscout24.de
O1 - Hosts: 195.158.171.60 gai.fr
O1 - Hosts: 195.158.171.60 gay.com
O1 - Hosts: 195.158.171.60 gay.de
O1 - Hosts: 195.158.171.60 gruppensex.de
O1 - Hosts: 195.158.171.60 hentai.com
O1 - Hosts: 195.158.171.60 hentai.de
O1 - Hosts: 195.158.171.60 icq.com
O1 - Hosts: 195.158.171.60 icq.de
O1 - Hosts: 195.158.171.60 ilove.de
O1 - Hosts: 195.158.171.60 incontri.supereva.it
O1 - Hosts: 195.158.171.60 it.chat.yahoo.com
O1 - Hosts: 195.158.171.60 knuddels.de
O1 - Hosts: 195.158.171.60 langueauchat.com
O1 - Hosts: 195.158.171.60 latina.de
O1 - Hosts: 195.158.171.60 lesben.de
O1 - Hosts: 195.158.171.60 lesbian.com
O1 - Hosts: 195.158.171.60 livecom.fr
O1 - Hosts: 195.158.171.60 mirc.com
O1 - Hosts: 195.158.171.60 oral.com
O1 - Hosts: 195.158.171.60 oral.de
O1 - Hosts: 195.158.171.60 orale.it
O1 - Hosts: 195.158.171.60 orgie.de
O1 - Hosts: 195.158.171.60 porn.com
O1 - Hosts: 195.158.171.60 porno.de
O1 - Hosts: 195.158.171.60 pornofilme.de
O1 - Hosts: 195.158.171.60 pornostar.de
O1 - Hosts: 195.158.171.60 pornstar.com
O1 - Hosts: 195.158.171.60 schlampen.de
O1 - Hosts: 195.158.171.60 sesso.it
O1 - Hosts: 195.158.171.60 sex.com
O1 - Hosts: 195.158.171.60 sex.de
O1 - Hosts: 195.158.171.60 sexe.fr
O1 - Hosts: 195.158.171.60 spinchat.de
O1 - Hosts: 195.158.171.60 talkcity.com
O1 - Hosts: 195.158.171.60 teen.com
O1 - Hosts: 195.158.171.60 teen.de
O1 - Hosts: 195.158.171.60 titten.de
O1 - Hosts: 195.158.171.60 traumpartnerchat.de
O1 - Hosts: 195.158.171.60 webchat.de
O1 - Hosts: 195.158.171.60 weborama.fr
O1 - Hosts: 195.158.171.60 www.amateur.de
O1 - Hosts: 195.158.171.60 www.anal.com
O1 - Hosts: 195.158.171.60 www.anal.de
O1 - Hosts: 195.158.171.60 www.anime.com
O1 - Hosts: 195.158.171.60 www.anime.de
O1 - Hosts: 195.158.171.60 www.asian.com
O1 - Hosts: 195.158.171.60 www.asian.de
O1 - Hosts: 195.158.171.60 www.bestofchat.com
O1 - Hosts: 195.158.171.60 www.bestsingle.it
O1 - Hosts: 195.158.171.60 www.blowjob.com
O1 - Hosts: 195.158.171.60 www.blowjob.de
O1 - Hosts: 195.158.171.60 www.boldchat.com
O1 - Hosts: 195.158.171.60 www.bravenet.com
O1 - Hosts: 195.158.171.60 www.canalchat.com
O1 - Hosts: 195.158.171.60 www.causerie.fr
O1 - Hosts: 195.158.171.60 www.chat.com
O1 - Hosts: 195.158.171.60 www.chat.de
O1 - Hosts: 195.158.171.60 www.chatandco.fr
O1 - Hosts: 195.158.171.60 www.chatcity.de
O1 - Hosts: 195.158.171.60 www.chatta.it
O1 - Hosts: 195.158.171.60 www.chiacchierata.fr
O1 - Hosts: 195.158.171.60 www.cumshot.de
O1 - Hosts: 195.158.171.60 www.ebony.com
O1 - Hosts: 195.158.171.60 www.ebony.de
O1 - Hosts: 195.158.171.60 www.erotik.de
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {702AD576-FDDB-4d0f-9811-A43252064684} - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/285afa05d8792d718118/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
O21 - SSODL: system32 - {78DB2E0D-4363-4036-9BB0-B4916A09EC32} - sysprinters.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: NvCplScan - Unknown owner - C:\WINDOWS\System32\nvsc32.exe" -netsvcs (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

#21 Entferne von C:\install
Die sachen die ich um 19.53 Uhr geschrieben habe müssen noch ausgeführt werden!!!!


__________
MfG Argus

#22 also ich hab nichts mit dem Thread zu tun, aber ich muss hier wirklich mal sagen, das Arnold einen Hammer Job macht und will ihm einfach danken, denn er hat mir auch geholfen.

Mach weiter so!

#23 Oh,danke für die Blumen
@Paddy007
Wie geht es mit dein MSN? alles wieder gut?
__________
MfG Argus

#24 Hallo Arno,
habe das selbe problem, kannst du bitte bei mir auch mal schauen.

C:\install kann ich bei mir nicht finden :-(

Combofix logfile:
"Administrator" - 2007-07-04 17:52:55 - ComboFix 07-07-04.4 - Service Pack 2


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NPF


((((((((((((((((((((((((( Files Created from 2007-06-04 to 2007-07-04 )))))))))))))))))))))))))))))))


2007-07-04 17:52 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-03 07:06 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
2007-07-03 07:05 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-07-02 23:25 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-06-24 13:25 <DIR> d-------- C:\WINDOWS\system32\logs


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-03 19:43:58 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-02 21:20:39 -------- d-----w C:\Programme\Yahoo!
2007-07-02 18:49:12 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-07-01 07:25:24 -------- d-----w C:\DOKUME~1\ADMINI~1\ANWEND~1\SiteAdvisor
2007-05-31 19:57:28 -------- d-----w C:\Programme\Windows Live Toolbar
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-13 11:29:33 57,632 ----a-w C:\StiImg.dat
2007-05-10 04:51:28 -------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2006-09-09 07:26:11 56 --sha-w C:\WINDOWS\SMINST\hpboot.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
2006-10-26 10:28 440384 --a------ C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{089FD14D-132B-48FC-8861-0048AE113215}]
2007-03-30 17:41 1099304 --a------ C:\Programme\SiteAdvisor\6066\SiteAdv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}]
2006-12-27 17:00 325184 --a------ C:\Programme\BitComet\tools\BitCometBHO.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
2005-08-31 05:20 110652 --a------ C:\WINDOWS\System32\DLA\DLASHX_W.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
2006-10-27 01:48 2210608 --a------ C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
2006-12-22 17:02 67136 --a------ c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
2006-08-31 21:33 322368 --a------ C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
2006-12-04 14:05 1198080 -ra------ c:\programme\google\googletoolbar1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}]
2007-02-12 15:56 546672 --a------ C:\Programme\Windows Live Toolbar\msntb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF21F1DB-80C6-11D3-9483-B03D0EC10000}]
2005-03-03 04:35 50688 --a------ C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsmqIntCert"="regsvr32 /s mqrt.dll" []
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 11:49]
"SiteAdvisor"="C:\Programme\SiteAdvisor\6066\SiteAdv.exe" [2006-08-10 21:38]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 18:46]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-01 16:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:00]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 16:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 nwprovau
Notification Packages scecli AsWlnPkg

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cpqset"=C:\Programme\HPQ\Default Settings\cpqset.exe
"ElbyCheckElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"Reminder"=C:\WINDOWS\Creator\Remind_XP.exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QlbCtrl"=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
"SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe
"DLA"=C:\WINDOWS\System32\DLA\DLACTRLW.EXE
"Scheduler"=C:\WINDOWS\SMINST\Scheduler.exe
"Recguard"=C:\WINDOWS\Sminst\Recguard.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"CognizanceTS"=rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
"PTHOSTTR"=C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance ASChannel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480


Contents of the 'Scheduled Tasks' folder
2007-06-29 16:40:20 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-07-04 15:22:01 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
2007-06-15 00:14:28 C:\WINDOWS\tasks\McDefragTask.job
2007-06-30 23:00:08 C:\WINDOWS\tasks\McQcTask.job
2007-07-04 15:57:44 C:\WINDOWS\tasks\MP Scheduled Scan.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-04 17:57:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 2007-07-04 18:00:38 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-04 18:00

--- E O F ---

Hijackthis:

* HijackThis v1.99.1 *
Written by Merijn - merijn@spywareinfo.com
http://www.merijn.org/files/hijackthis.zip
http://www.merijn.org/index.html

See bottom for version history.

The different sections of hijacking possibilities have been separated into the following groups.
You can get more detailed information about an item by selecting it from the list of found items OR highlighting the relevant line below, and clicking 'Info on selected item'.

R - Registry, StartPage/SearchPage changes
R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be
F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla
O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing MSIE BHO's
O3 - Enumeration of existing MSIE toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of 'Internet Options' Main tab with Policies
O7 - Disabling of Regedit with Policies
O8 - Extra MSIE context menu items
O9 - Extra 'Tools' menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in MSIE 'Advanced' settings tab
O12 - MSIE plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program Files item
O17 - Domain hijack
O18 - Enumeration of existing protocols and filters
O19 - User stylesheet hijack
O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key
O23 - Enumeration of NT Services


dank dir schon mal
gruß dennis

#25 Tag,Dennis
Nun habe icg speziell für MSN geschädigte etwas im Forum geschrieben und es wird nicht gelesen
__________
MfG Argus

#26 ja ich hab es versucht zu verstehn, aber bin kein so computer-spezialist.... hab mal versucht nach deinen anweisungen vor zu gehn, aber hat nicht so ganz geklappt....
kannst du den auf den ersten blick was bei mir entdecken?
ich hab die "sysprinters.dll " schon gelöscht bekommen aber den "install"
ordner kann ich net finden:-(

#27 Jede Infektion ist wieder anders
Und es doch nicht so schwer um CCleaner,Ewido oder SDFix zu installieren
__________
MfG Argus

#28 ja das schon, laut den CCleaner, ewido und sdfix hab ich alles was gelöscht werden konnte auch gemacht.....

die frage ist nur ob ich jetzt sauber bin, da ich diesen einen orden nicht gefunden habe:-(

was kann der dieser trojaner alles anstellen?

#29 Du hast alles gemacht aber wo sind jetzt die Logs von Ewido,SDFix,Hijack This
Combofix
Ich kann dir nicht helfen
__________
MfG Argus

#30

Zitat

Arnold postete
Entferne von C:\install
Die sachen die ich um 19.53 Uhr geschrieben habe müssen noch ausgeführt werden!!!!

Ja genau das habe ich gestern übersehen, habe jetzt alle Punkte durchgeführt. Ich will mich hiermit Paddy anschliessen und möchte mich ganz herzlich bedanke für die kompetente und super schnelle Antworten, war wirklich eine riesen Hilfe, schade das diese Bedankung übers Internet ein wenig unpersönlich hinüberkommt. Merci!

Noch ne Frage hätte ich, wieso sollte man eigentlich beim AVG Anti Spyware den Resident Shield bei Inaktiv lassen?

Gruss Jula