Trojaner WIN32: Zlop ZW [TJ] und vieles mehr

#0
12.08.2007, 12:40
...neu hier

Beiträge: 7
#1 Hallo!

Ich habe ein Problem:

der Virenscanner hat folgendes gefunden:


Beim Öffnen der Datei "C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP94\A0039403.exe" wurde der Virus "Win32:Zlob-ABC [Trj]" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.
Beim Öffnen der Datei "C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP94\A0039404.dll" wurde der Virus "Win32:Zlob-ABC [Trj]" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.
Beim Öffnen der Datei "C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP94\A0039405.exe" wurde der Virus "Win32:Zlob-ZW [Trj]" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.
Beim Öffnen der Datei "C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP94\A0039408.exe" wurde der Virus "not-a-virus:FraudTool.Win32.VirusProtectPro.e" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.
Beim Öffnen der Datei "C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP95\A0039450.dll" wurde der Virus "Trojan-Downloader.Win32.Agent.bkd" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.
Beim Öffnen der Datei "C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP89\A0038056.exe" wurde der Virus "Trojan-Downloader.Win32.Zlob.byq" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Hab nun auch die liste abgearbeitet. ich sags gleich, ich kann mit dem ganzen nicht wirklich was anfangen weil ich mich da wirklich nicht auskenne und ich mich auch nicht wirklich traue etwas zu machen was dann schief gehen kann.

hier das File von HJT:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:57, on 12.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
C:\Programme\G DATA InternetSecurity TotalCare\Backup\Backup.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\SPYWAREfighter\SPYWAREfighter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=940
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity totalcare\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll (file missing)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Babylon Client] J:\MAUS\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Storb Soft Traffic Monitor.lnk = C:\Programme\Storb Soft\Traffic Monitor\TrafficMonitor.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5095/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE26F5A1-0631-413E-93EA-E4DE98037244}: NameServer = 213.94.78.16 213.94.78.17
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: andr - {3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6} - C:\WINDOWS\system32\duznhje.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVK Tuner Service - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 11581 bytes

hier dann noch das LOG von der combofix.exe

ComboFix 07-08-09.3 - "Markus" 2007-08-12 12:26:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.390 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-07-12 to 2007-08-12 )))))))))))))))))))))))))))))))


2007-08-12 12:26 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-12 10:12 <DIR> d-------- C:\WINDOWS\McAfee.com
2007-08-12 10:12 <DIR> d-------- C:\WINDOWS\LastGood
2007-08-12 08:01 <DIR> d-------- C:\G DATA
2007-08-11 15:43 <DIR> d-------- C:\Programme\Windows Live Safety Center
2007-08-11 15:30 <DIR> d-------- C:\DOKUME~1\Markus\.housecall6.6
2007-08-11 14:47 <DIR> d-------- C:\Programme\Trend Micro
2007-08-10 20:58 <DIR> d-------- C:\Programme\Lavasoft
2007-08-10 20:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-08-10 20:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-10 20:31 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-10 18:14 47,312 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2007-08-10 18:14 31,568 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2007-08-10 18:13 <DIR> d--hs---- C:\#GDATA.Trash.Store#
2007-08-10 18:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Log
2007-08-10 18:11 40,400 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2007-08-10 18:11 20,096 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys
2007-08-10 18:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2007-08-10 18:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\G DATA
2007-08-10 18:10 <DIR> d-------- C:\Programme\G DATA InternetSecurity TotalCare
2007-08-10 16:57 <DIR> d-------- C:\DOKUME~1\Markus\ANWEND~1\SiteAdvisor
2007-08-10 15:43 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-08-10 15:43 <DIR> d-------- C:\Programme\SichererSchutz
2007-08-10 15:38 <DIR> d--h----- C:\WINDOWS\PIF
2007-08-10 14:36 <DIR> d---s---- C:\DOKUME~1\Markus\UserData
2007-08-06 16:38 <DIR> d-------- C:\Programme\Storb Soft
2007-07-19 18:53 <DIR> d-------- C:\My Downloads
2007-07-19 18:53 <DIR> d-------- C:\DOKUME~1\Astrid\ANWEND~1\BearShare
2007-07-19 13:11 <DIR> d-------- C:\DOKUME~1\Markus\ANWEND~1\VoipStunt
2007-07-19 13:07 <DIR> d-------- C:\Programme\VoipStunt.com
2007-07-17 07:43 <DIR> d-------- C:\Programme\BearShare Applications
2007-07-17 07:43 <DIR> d-------- C:\DOKUME~1\Markus\ANWEND~1\BearShare


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-10 18:10 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-10 17:02 201 --a------ C:\WINDOWS\nsreg.dat
2007-08-08 16:37 --------- d-------- C:\DOKUME~1\Markus\ANWEND~1\Skype
2007-07-30 11:14 8456 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-07-30 11:14 248 -r-hs---- C:\WINDOWS\system32\D722087992.sys
2007-07-24 12:18 65866 --a------ C:\WINDOWS\system32\perfc007.dat
2007-07-24 12:18 396586 --a------ C:\WINDOWS\system32\perfh007.dat
2007-07-21 11:39 --------- d-------- C:\Programme\epson
2007-07-08 14:57 --------- d-------- C:\Programme\Nokia
2007-06-25 17:21 2446 --a------ C:\WINDOWS\mozver.dat
2007-06-16 08:24 --------- d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-06-15 12:49 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-05-16 17:12 85504 --------- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 --------- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 --------- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 683520 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 1314816 --------- C:\WINDOWS\system32\dllcache\msoe.dll
2007-05-14 14:56 563 --a------ C:\WINDOWS\eReg.dat
2007-04-24 21:09 0 --a------ C:\DOKUME~1\Markus\ANWEND~1\wklnhst.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-12-13 17:44]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-12-13 17:41]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-12-13 17:45]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 17:30 C:\WINDOWS\stsystra.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 12:48]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-08-03 19:51]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-10-18 19:04]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-10-18 18:58]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50]
"PCMService"="C:\Programme\Dell\MediaDirect\PCMService.exe" [2006-08-22 16:32]
"QuickFinder Scheduler"="C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 23:21]
"CTSVolFE.exe"="C:\Programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 16:57]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-31 05:33]
"Babylon Client"="J:\MAUS\Babylon\Babylon.exe" []
"AVKTray"="C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe" [2007-04-02 13:49]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=J:\MAUS\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\Markus\Startmen\Programme\Autostart\
Storb Soft Traffic Monitor.lnk - C:\Programme\Storb Soft\Traffic Monitor\TrafficMonitor.exe [2007-08-06 16:38:17]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-05-24 19:28:28]
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2007-04-10 23:30:18]
G DATA Firewall Tray.lnk - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFirewallTray.exe [2007-08-10 18:11:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}"= C:\WINDOWS\system32\duznhje.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity totalcare\avkkid\avkcks.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dell Network Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dell Network Assistant.lnk
backup=C:\WINDOWS\pss\Dell Network Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\24access]
J:\MAUS\Mobile Media Center\24access.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
J:\MAUS\Nokia PC Suite 6\LaunchApplication.exe -startup

R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI;C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
R2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"
R2 AVKService;AVK Service;C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
R2 Packet;Auto Internet Protocol;C:\WINDOWS\system32\DRIVERS\packet.sys
R3 AVK Tuner Service;AVK Tuner Service;C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe
R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
R3 GDMnIcpt;GDMnIcpt;\??\C:\WINDOWS\system32\drivers\MiniIcpt.sys
R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys
R3 hwdatacard;Huawei DataCard USB Modem and USB Serial;C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys
R3 NETw3x32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows XP 32 Bit;C:\WINDOWS\system32\DRIVERS\NETw3x32.sys
R3 rimmptsk;rimmptsk;C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
R3 rimsptsk;rimsptsk;C:\WINDOWS\system32\DRIVERS\rimsptsk.sys
R3 rismxdp;Ricoh xD-Picture Card Driver;C:\WINDOWS\system32\DRIVERS\rixdptsk.sys
R3 sdbus;sdbus;C:\WINDOWS\system32\DRIVERS\sdbus.sys
S3 nmwcd;Nokia USB Phone Parent;C:\WINDOWS\system32\drivers\nmwcd.sys
S3 nmwcdc;Nokia USB Generic;C:\WINDOWS\system32\drivers\nmwcdc.sys
S3 nmwcdcm;Nokia USB Modem;C:\WINDOWS\system32\drivers\nmwcdcm.sys
S3 sffdisk;SFF-Speicherklassentreiber;C:\WINDOWS\system32\DRIVERS\sffdisk.sys
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus;C:\WINDOWS\system32\DRIVERS\sffp_sd.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{00611e7e-ed0f-11db-9b1e-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{00611e80-ed0f-11db-9b1e-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e3197fa-f8d7-11db-9b48-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47da7e4d-f8d8-11db-9b49-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47da7e50-f8d8-11db-9b49-0019b95fb3fb}]
AutoRun\command- F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62a52d33-f41e-11db-9b36-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62a52d35-f41e-11db-9b36-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e188-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e18d-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e18e-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e18f-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e191-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-12 12:28:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-12 12:29:49

--- E O F ---

Ich hoffe dass ich alles richtig gemacht habe und bitte euch mir zu helfen.

Eines noch, versucht mir es so zu erklären das ich es auch verstehe und auch danach arbeiten kann, anleitung usw wäre sehr hilfreich :-)

Danke und schönen Sonntag noch

LG

Markus

p.s.:

hab noch was gemacht, was ich vergessen hab:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1412-37BC

Verzeichnis von C:\WINDOWS\system32

12.08.2007 08:00 2.206 wpa.dbl
11.08.2007 15:49 20.978 iklog.log
10.08.2007 18:06 12.766 Config.MPF
01.08.2007 19:22 5.214 jupdate-1.6.0_02-b06.log
30.07.2007 11:14 8.456 KGyGaAvL.sys
30.07.2007 11:14 248 D722087992.sys
24.07.2007 12:18 384.930 perfh009.dat
24.07.2007 12:18 54.614 perfc009.dat
24.07.2007 12:18 65.866 perfc007.dat
24.07.2007 12:18 396.586 perfh007.dat
24.07.2007 12:18 910.438 PerfStringBackup.INI
22.07.2007 18:39 279.552 swreg.exe
22.07.2007 00:17 306.808 FNTCACHE.DAT
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
01.07.2007 16:04 4.254 jupdate-1.6.0_01-b06.log
28.06.2007 09:57 16.256.984 MRT.exe
15.06.2007 12:49 664 d3d9caps.dat
16.05.2007 17:11 683.520 inetcomm.dll
04.05.2007 14:59 3.085.312 mshtml.dll
25.04.2007 16:22 144.896 schannel.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1412-37BC

Verzeichnis von C:\DOKUME~1\Markus\LOKALE~1\Temp

12.08.2007 12:44 289 datFind.zip
12.08.2007 12:04 0 JET6C35.tmp
12.08.2007 12:04 0 JET6A41.tmp
12.08.2007 08:40 0 JET508D.tmp
12.08.2007 08:33 16.384 ~WRF0000.tmp
5 Datei(en) 16.673 Bytes
0 Verzeichnis(se), 98.604.679.168 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1412-37BC

Verzeichnis von C:\WINDOWS

12.08.2007 12:56 1.434.337 WindowsUpdate.log
12.08.2007 10:12 750.124 setupapi.log
12.08.2007 08:40 36.186 ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
12.08.2007 08:39 109 Backup.INI
12.08.2007 08:00 0 0.log
12.08.2007 08:00 4.908 ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
12.08.2007 08:00 159 wiadebug.log
12.08.2007 08:00 50 wiaservc.log
12.08.2007 08:00 2.048 bootstat.dat
11.08.2007 18:39 32.642 SchedLgU.Txt
11.08.2007 15:52 1.508 setupact.log
11.08.2007 15:49 886 SpywareDoctor5Uninstall.log
11.08.2007 08:52 165.256 ntbtlog.txt
11.08.2007 08:13 227 system.ini
10.08.2007 20:32 62 SpywareDoctor5Install.log
10.08.2007 18:13 667 KB829558.log
10.08.2007 18:12 22.648 KB893803v2.log
10.08.2007 17:02 201 nsreg.dat
10.08.2007 15:05 11.191 KB892130.log
08.08.2007 15:01 1.409 QTFont.for
08.08.2007 15:01 54.156 QTFont.qfn
28.07.2007 15:29 594 win.ini
24.07.2007 12:18 18.399 tabletoc.log
24.07.2007 12:18 83.305 ntdtcsetup.log
24.07.2007 12:18 21.035 ocmsn.log
24.07.2007 12:18 4.696 imsins.log
24.07.2007 12:18 490.896 iis6.log
24.07.2007 12:18 135.781 comsetup.log
24.07.2007 12:18 181.459 tsoc.log
24.07.2007 12:18 203.676 ocgen.log
24.07.2007 12:18 27.025 MedCtrOC.log
24.07.2007 12:18 19.342 msgsocm.log
24.07.2007 12:18 386.087 FaxSetup.log
24.07.2007 12:18 65.529 netfxocm.log
24.07.2007 12:18 129.672 msmqinst.log
24.07.2007 11:40 5.388 ModemLog_Bluetooth-Faxmodem.txt
24.07.2007 11:40 5.386 ModemLog_Bluetooth-Modem.txt
21.07.2007 15:32 11.492 ModemLog_HUAWEI Mobile Connect - 3G Modem #2.txt
21.07.2007 11:38 8.016 EPSTPLOG.TXT
21.07.2007 11:38 62 EPSMTL32.TXT
21.07.2007 11:37 2.230 epsswt_log.txt
20.07.2007 00:47 109.056 catchme.exe
17.07.2007 10:45 1.191 discwriter.log
17.07.2007 10:45 0 OrangeBurn.log
14.07.2007 17:53 17.070 KB936357.log
25.06.2007 17:21 2.446 mozver.dat
17.06.2007 00:11 51.200 nircmd.exe
16.06.2007 08:26 34.968 KB933566.log
16.06.2007 08:26 36.481 updspapi.log
16.06.2007 08:26 14.476 KB929123.log
16.06.2007 08:26 12.562 KB935840.log
16.06.2007 08:24 12.621 KB935839.log
16.06.2007 08:24 358 wininit.ini
16.06.2007 08:24 1.467 xpsp1hfm.log
02.06.2007 11:39 801 asrapi.ini
26.05.2007 17:56 7.874 KB927891.log
14.05.2007 14:56 563 eReg.dat
12.05.2007 13:48 8.192 Thumbs.db
10.05.2007 10:19 16.815 KB931768.log
10.05.2007 10:19 20.648 KB930916.log
10.05.2007 09:54 530 ODBC.INI
09.05.2007 14:14 1.732 wmsetup.log
09.05.2007 13:56 21.148 DPINST.LOG
25.04.2007 14:27 29 DEBUGSM.INI
21.04.2007 16:01 56.342 ModemLog_HUAWEI Mobile Connect - 3G Modem #3.txt
21.04.2007 07:37 793 {0240BDFB-2995-4A3F-8C96-18D41282B716}_WiseFW.ini

so ich glaube ich hab nun alles
Dieser Beitrag wurde am 12.08.2007 um 13:02 Uhr von dagobert75 editiert.
Seitenanfang Seitenende
12.08.2007, 14:50
Moderator

Beiträge: 7805
#2 Da war mal ein Zlob aktiv. Nutze bitte einmal smitfraudfix: http://siri.geekstogo.com/SmitfraudFix_De.php

Danach bitte den Erstellten Report posten, sowie reinge erst die Systemwiederherstellung mit Hilfe von Datentraegerbereinigung.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.08.2007, 15:32
...neu hier

Themenstarter

Beiträge: 7
#3 Hi!

freu..dass ging aber schnell

verdammt..mir macht der nicht diese seite auf..siehe anhängende datei..

wie bekomm ich diese SW?

LG aus Innsbruck

Markus

Dieser Beitrag wurde am 12.08.2007 um 15:57 Uhr von dagobert75 editiert.
Seitenanfang Seitenende
12.08.2007, 15:59
Moderator

Beiträge: 7805
#4 Ganz einfach, einfach den Gdata Antivir Guard deaktivieren, beim herunterladen und beim Starten der DAtei. Gdata meldet eine Datei, die Smitfraudfix braucht um gewisse Prozesse beenden zu koennen. Das koennte rein theoretisch ja auch Malware machen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.08.2007, 16:07
...neu hier

Themenstarter

Beiträge: 7
#5 okay, rat befolgt und dass bekommen..wie gehts weiter?

Zitat

...sowie reinge erst die Systemwiederherstellung mit Hilfe von Datentraegerbereinigung.
hmm, was meinst du damit..sorry..i hab da keine ahnung von was du sprichst :-(

was muss ich da machen und vorallem wie????

LG

Markus


SmitFraudFix v2.195

Scan done at 16:05:20,68, 12.08.2007
Run from C:\Dokumente und Einstellungen\Markus\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\Storb Soft\Traffic Monitor\TrafficMonitor.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Markus


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Markus\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Markus\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}"="andr"

[HKEY_CLASSES_ROOT\CLSID\{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}\InProcServer32]
@="C:\WINDOWS\system32\duznhje.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}\InProcServer32]
@="C:\WINDOWS\system32\duznhje.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.94.78.16
DNS Server Search Order: 213.94.78.17

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FE26F5A1-0631-413E-93EA-E4DE98037244}: NameServer=213.94.78.16 213.94.78.17
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FE26F5A1-0631-413E-93EA-E4DE98037244}: NameServer=213.94.78.16 213.94.78.17


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat

Seitenanfang Seitenende
12.08.2007, 16:15
Moderator

Beiträge: 7805
#6 Du musst Smitfraudfix nach Anleitung nutzen, also im abgesicherten Modus starten und dort reinigen. Wegen der Systemwiederherstellung:

Zitat

Oder nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren) und saeubere dort die Systemwiederherstellung über "weitere Optionen".
http://support.microsoft.com/default.aspx?scid=kb;de;315246

__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.08.2007, 16:48
...neu hier

Themenstarter

Beiträge: 7
#7 so, da bin ich wieder..alles gemacht so wie du gesagt hast, hoffe ich zumindes...

Hier das LOG was ich bekommen hab:

SmitFraudFix v2.195

Scan done at 16:35:25,25, 12.08.2007
Run from C:\Dokumente und Einstellungen\Markus\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}"="andr"

[HKEY_CLASSES_ROOT\CLSID\{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}\InProcServer32]
@="C:\WINDOWS\system32\duznhje.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}\InProcServer32]
@="C:\WINDOWS\system32\duznhje.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}"="andr"

[HKEY_CLASSES_ROOT\CLSID\{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}\InProcServer32]
@="C:\WINDOWS\system32\duznhje.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}\InProcServer32]
@="C:\WINDOWS\system32\duznhje.dll"



»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
12.08.2007, 17:32
Moderator

Beiträge: 7805
#8 Dann erstelle bitte noch ein neues combofix log
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.08.2007, 17:59
...neu hier

Themenstarter

Beiträge: 7
#9 hier dass combofix.log

ComboFix 07-08-09.3 - "Markus" 2007-08-12 17:55:32.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.380 [GMT 2:00]


((((((((((((((((((((((((( Files Created from 2007-07-12 to 2007-08-12 )))))))))))))))))))))))))))))))


2007-08-12 16:05 3,600 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-12 16:04 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-12 16:04 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-12 16:04 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-12 12:26 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-12 10:12 <DIR> d-------- C:\WINDOWS\McAfee.com
2007-08-12 08:01 <DIR> d-------- C:\G DATA
2007-08-11 15:43 <DIR> d-------- C:\Programme\Windows Live Safety Center
2007-08-11 15:30 <DIR> d-------- C:\DOKUME~1\Markus\.housecall6.6
2007-08-11 14:47 <DIR> d-------- C:\Programme\Trend Micro
2007-08-10 20:58 <DIR> d-------- C:\Programme\Lavasoft
2007-08-10 20:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-08-10 20:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-10 20:31 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-10 18:14 47,312 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2007-08-10 18:14 31,568 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2007-08-10 18:13 <DIR> d--hs---- C:\#GDATA.Trash.Store#
2007-08-10 18:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Log
2007-08-10 18:11 40,400 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2007-08-10 18:11 20,096 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys
2007-08-10 18:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2007-08-10 18:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\G DATA
2007-08-10 18:10 <DIR> d-------- C:\Programme\G DATA InternetSecurity TotalCare
2007-08-10 16:57 <DIR> d-------- C:\DOKUME~1\Markus\ANWEND~1\SiteAdvisor
2007-08-10 15:43 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-08-10 15:43 <DIR> d-------- C:\Programme\SichererSchutz
2007-08-10 15:38 <DIR> d--h----- C:\WINDOWS\PIF
2007-08-10 14:36 <DIR> d---s---- C:\DOKUME~1\Markus\UserData
2007-08-06 16:38 <DIR> d-------- C:\Programme\Storb Soft
2007-07-19 18:53 <DIR> d-------- C:\My Downloads
2007-07-19 18:53 <DIR> d-------- C:\DOKUME~1\Astrid\ANWEND~1\BearShare
2007-07-19 13:11 <DIR> d-------- C:\DOKUME~1\Markus\ANWEND~1\VoipStunt
2007-07-19 13:07 <DIR> d-------- C:\Programme\VoipStunt.com
2007-07-17 07:43 <DIR> d-------- C:\Programme\BearShare Applications
2007-07-17 07:43 <DIR> d-------- C:\DOKUME~1\Markus\ANWEND~1\BearShare


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-10 18:10 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-10 17:02 201 --a------ C:\WINDOWS\nsreg.dat
2007-08-08 16:37 --------- d-------- C:\DOKUME~1\Markus\ANWEND~1\Skype
2007-07-30 11:14 8456 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-07-30 11:14 248 -r-hs---- C:\WINDOWS\system32\D722087992.sys
2007-07-24 12:18 65866 --a------ C:\WINDOWS\system32\perfc007.dat
2007-07-24 12:18 396586 --a------ C:\WINDOWS\system32\perfh007.dat
2007-07-21 11:39 --------- d-------- C:\Programme\epson
2007-07-08 14:57 --------- d-------- C:\Programme\Nokia
2007-06-25 17:21 2446 --a------ C:\WINDOWS\mozver.dat
2007-06-16 08:24 --------- d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-06-15 12:49 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-05-16 17:12 85504 --------- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 --------- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 --------- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 683520 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 1314816 --------- C:\WINDOWS\system32\dllcache\msoe.dll
2007-05-14 14:56 563 --a------ C:\WINDOWS\eReg.dat
2007-04-24 21:09 0 --a------ C:\DOKUME~1\Markus\ANWEND~1\wklnhst.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-12-13 17:44]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-12-13 17:41]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-12-13 17:45]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 17:30 C:\WINDOWS\stsystra.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 12:48]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-08-03 19:51]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-10-18 19:04]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-10-18 18:58]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50]
"PCMService"="C:\Programme\Dell\MediaDirect\PCMService.exe" [2006-08-22 16:32]
"QuickFinder Scheduler"="C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 23:21]
"CTSVolFE.exe"="C:\Programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 16:57]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-31 05:33]
"Babylon Client"="J:\MAUS\Babylon\Babylon.exe" []
"AVKTray"="C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe" [2007-04-02 13:49]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=J:\MAUS\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\Markus\Startmen\Programme\Autostart\
Storb Soft Traffic Monitor.lnk - C:\Programme\Storb Soft\Traffic Monitor\TrafficMonitor.exe [2007-08-06 16:38:17]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-05-24 19:28:28]
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2007-04-10 23:30:18]
G DATA Firewall Tray.lnk - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFirewallTray.exe [2007-08-10 18:11:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6}"= C:\WINDOWS\system32\duznhje.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dell Network Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Dell Network Assistant.lnk
backup=C:\WINDOWS\pss\Dell Network Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\24access]
J:\MAUS\Mobile Media Center\24access.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
J:\MAUS\Nokia PC Suite 6\LaunchApplication.exe -startup

R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI;C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
R2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"
R2 AVKService;AVK Service;C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
R2 Packet;Auto Internet Protocol;C:\WINDOWS\system32\DRIVERS\packet.sys
R3 AVK Tuner Service;AVK Tuner Service;C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe
R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
R3 GDMnIcpt;GDMnIcpt;\??\C:\WINDOWS\system32\drivers\MiniIcpt.sys
R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys
R3 hwdatacard;Huawei DataCard USB Modem and USB Serial;C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys
R3 NETw3x32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows XP 32 Bit;C:\WINDOWS\system32\DRIVERS\NETw3x32.sys
R3 rimmptsk;rimmptsk;C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
R3 rimsptsk;rimsptsk;C:\WINDOWS\system32\DRIVERS\rimsptsk.sys
R3 rismxdp;Ricoh xD-Picture Card Driver;C:\WINDOWS\system32\DRIVERS\rixdptsk.sys
R3 sdbus;sdbus;C:\WINDOWS\system32\DRIVERS\sdbus.sys
S3 nmwcd;Nokia USB Phone Parent;C:\WINDOWS\system32\drivers\nmwcd.sys
S3 nmwcdc;Nokia USB Generic;C:\WINDOWS\system32\drivers\nmwcdc.sys
S3 nmwcdcm;Nokia USB Modem;C:\WINDOWS\system32\drivers\nmwcdcm.sys
S3 sffdisk;SFF-Speicherklassentreiber;C:\WINDOWS\system32\DRIVERS\sffdisk.sys
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus;C:\WINDOWS\system32\DRIVERS\sffp_sd.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{00611e7e-ed0f-11db-9b1e-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{00611e80-ed0f-11db-9b1e-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e3197fa-f8d7-11db-9b48-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47da7e4d-f8d8-11db-9b49-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47da7e50-f8d8-11db-9b49-0019b95fb3fb}]
AutoRun\command- F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62a52d33-f41e-11db-9b36-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62a52d35-f41e-11db-9b36-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e188-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e18d-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e18e-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e18f-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da20e191-ed93-11db-9b24-0019b95fb3fb}]
AutoRun\command- E:\AutoRun.exe


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-12 17:57:20
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-12 17:58:17
C:\ComboFix2.txt ... 2007-08-12 12:29

--- E O F ---
Seitenanfang Seitenende
12.08.2007, 18:40
Moderator

Beiträge: 7805
#10 Es sind zwar noch einige (harmlose) Reste in der Registrierung uebrig, aber Malware sollte nicht mehr gemeldet werden!?

Du solltest noch folgende Dinge in Hijackthis anhaken und fix checked druecken:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=940
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll (file missing)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O22 - SharedTaskScheduler: andr - {3162ba5b-4f2d-40c5-8fb6-36c6a0d639e6} - C:\WINDOWS\system32\duznhje.dll (file missing)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.08.2007, 18:43
...neu hier

Themenstarter

Beiträge: 7
#11 mahhhhh!!!! KLASSE!!!!

super..danke...hurra...alles wieder weg!!!!

was kann ich denn mit dem anderen schrott machen der was noch über geblieben ist? kann man dass auch weg machen oder soll ich es lieber lassen?

DANKE nochmal für die schnelle hilfe...!!!!!!!!
Seitenanfang Seitenende
12.08.2007, 18:44
Moderator

Beiträge: 7805
#12 Ich hab mal mein Posting oben editiert.....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.08.2007, 19:16
...neu hier

Themenstarter

Beiträge: 7
#13 Hi Ralf!

so, hab dass gemacht was du mir gesagt hast..

anbei hab ich dir noch einen HJT-LOG gemacht:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:39, on 12.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Dell Network Assistant\hnm_svc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\Storb Soft\Traffic Monitor\TrafficMonitor.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Babylon Client] J:\MAUS\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity TotalCare\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Storb Soft Traffic Monitor.lnk = C:\Programme\Storb Soft\Traffic Monitor\TrafficMonitor.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5095/mcfscan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVK Tuner Service - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity TotalCare\Firewall\GDFwSvc.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 8521 bytes


Sag mal: recht herzlichen dank für die schnelle und vor allem kompitente hilfe! glaub mir sowas findet man leider nicht mehr so oft!!!!!

wünsche dir noch einen schönen Sonntag

LG aus Innsbruck

Markus
Seitenanfang Seitenende