Desktop überlagert nach Wurmproblem

#1 Hallo,

vorerst ich bin ganz neu weil ich grad nicht weiter weiß.
Heute Vormittag hatte ich ein Problem mit "email-worm.win32.zhelatin.gv".
Den habe ich mit Mühe und Not durch Zonealarm und Adware beseitigen können.

Jetzt treten noch 2Probleme auf. Mein Hintergrundbild wird durch eine ja schwarze Seite überlagert und mein Skype wählt sich nicht mehr ein.

Eine Systemwiederherstellung ist nicht möglich, warum weiß ich nicht.

Nun hab ich schon im Forum gelesen was man machen sollte, aber weiter als bis zu einem Logeintrag komm ich nicht.

Ich hoffe Ihr könnt mir helfen.
Danke : )

#2 Hijackthis Log sollte funktionieren, datfindbat auch. Combofix waere natuerlich ideal. erstelle die Reporte ansonsten im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm (ueber die F8 Taste)
__________
MfG Ralf
SEO-Spam Hunter

#3 Vielen Dank für die prompte Antwort.
Combofix habe ich durchlaufen lassen und das Problem mit dem Bildschirm ist geschichte.

Hier ist der Report dazu,
hab ich noch mehr zu beachten?

ComboFix 07-08-14.4 - "WindowsXP" 2007-08-16 14:19:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.506 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\WINDOW~1\ANWEND~1\install.dat
C:\WINDOWS\deskcfg.dat
C:\WINDOWS\system32\9_exception.nls
C:\WINDOWS\system32\dllh8jkd1q1.exe
C:\WINDOWS\system32\dllh8jkd1q2.exe
C:\WINDOWS\system32\dllh8jkd1q5.exe
C:\WINDOWS\system32\dllh8jkd1q6.exe
C:\WINDOWS\system32\dllh8jkd1q7.exe
C:\WINDOWS\system32\dllh8jkd1q8.exe
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\mt_32.dll
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winsub.xml


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_RUNTIME
-------\asc3550u
-------\runtime


((((((((((((((((((((((((( Files Created from 2007-07-16 to 2007-08-16 )))))))))))))))))))))))))))))))


2007-08-16 14:18 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-16 10:42 <DIR> d-------- C:\kav
2007-08-16 09:50 40,041 --a------ C:\WINDOWS\system32\msdnc4.exe
2007-08-16 09:50 23,271 --a------ C:\WINDOWS\system32\msdnc3.exe
2007-08-03 12:08 <DIR> d-------- C:\Programme\Surveyor Corporation
2007-08-01 16:27 <DIR> d-------- C:\Programme\MSECache
2007-08-01 08:47 <DIR> d-------- C:\Programme\Microsoft Works
2007-08-01 08:46 <DIR> d-------- C:\Programme\Microsoft.NET
2007-08-01 08:42 <DIR> dr-h----- C:\MSOCache
2007-08-01 08:42 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
2007-07-31 20:40 <DIR> d-------- C:\DOKUME~1\WINDOW~1\ANWEND~1\Quark
2007-07-31 20:38 <DIR> d-------- C:\Programme\Quark
2007-07-31 20:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Quark
2007-07-31 19:03 1,901 --a------ C:\WINDOWS\panose.bin
2007-07-31 19:02 94,285 --a------ C:\WINDOWS\system32\MSVCIRTD.DLL
2007-07-31 19:02 70,144 --a------ C:\WINDOWS\KPFP32.DLL
2007-07-31 19:02 6,144 --a------ C:\WINDOWS\system32\W95FIBER.DLL
2007-07-31 19:02 58,368 --a------ C:\WINDOWS\pfpick.dll
2007-07-31 19:02 53,760 --a------ C:\WINDOWS\PTPICK32.DLL
2007-07-31 19:02 5,632 --a------ C:\WINDOWS\system32\MFCUIA32.DLL
2007-07-31 19:02 48,128 --a------ C:\WINDOWS\KPSYS32.DLL
2007-07-31 19:02 42,483 --a------ C:\WINDOWS\ICCCODES.DAT
2007-07-31 19:02 401,484 --a------ C:\WINDOWS\system32\MSVCRTD.DLL
2007-07-31 19:02 39,095 --a------ C:\WINDOWS\Iccsigs.dat
2007-07-31 19:02 33,424 --a------ C:\WINDOWS\system32\URLCACHE.DLL
2007-07-31 19:02 322,832 --a------ C:\WINDOWS\system32\MFC30.DLL
2007-07-31 19:02 32,792 --a------ C:\WINDOWS\SPWHPT.DLL
2007-07-31 19:02 31,744 --a------ C:\WINDOWS\KPSHARP.DLL
2007-07-31 19:02 31,232 --a------ C:\WINDOWS\KPSCALE.DLL
2007-07-31 19:02 243,712 --a------ C:\WINDOWS\KPCP32.DLL
2007-07-31 19:02 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2007-07-31 19:02 210,944 --a------ C:\WINDOWS\system32\MSVCRT10.DLL
2007-07-31 19:02 20,992 --a------ C:\WINDOWS\icccodes.dll
2007-07-31 19:02 156,672 --a------ C:\WINDOWS\sprof32.dll
2007-07-31 19:02 133,904 --a------ C:\WINDOWS\system32\MFCANS32.DLL
2007-07-31 19:02 133,392 --a------ C:\WINDOWS\system32\MFCO30.DLL
2007-07-31 19:02 <DIR> d-------- C:\WINDOWS\system32\Color
2007-07-31 19:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Vbox
2007-07-31 19:02 <DIR> d-------- C:\Kpcms
2007-07-31 19:01 327,168 --a------ C:\WINDOWS\IsUninst.exe
2007-07-31 09:09 45,056 --a------ C:\WINDOWS\system32\unredmon.exe
2007-07-31 09:09 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2007-07-31 09:09 <DIR> d-------- C:\Programme\FreePDF_XP
2007-07-31 09:09 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\FreePDF
2007-07-31 09:08 <DIR> d-------- C:\Programme\gs
2007-07-29 15:42 53,248 --a------ C:\WINDOWS\ipuninst.exe
2007-07-28 15:25 <DIR> d-------- C:\Programme\VideoLAN
2007-07-28 15:25 <DIR> d-------- C:\DOKUME~1\WINDOW~1\ANWEND~1\vlc
2007-07-27 09:19 <DIR> d-------- C:\Programme\CIB software GmbH


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-16 14:26 --------- d-------- C:\DOKUME~1\WINDOW~1\ANWEND~1\Skype
2007-08-16 14:25 940868 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-08-16 14:25 69911328 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-08-16 14:25 3914016 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-08-16 14:25 370544 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-08-16 14:17 --------- d-------- C:\DOKUME~1\WINDOW~1\ANWEND~1\Free Download Manager
2007-07-28 17:59 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-19 08:56 3583488 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-13 01:30 765952 --a--c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-11 21:35 --------- d-------- C:\Programme\Skype
2007-07-11 21:34 --------- d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-06-27 16:05 823808 --a--c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 16:05 671232 --a--c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 16:05 52224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 16:05 477696 --a--c--- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 16:05 459264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 16:05 27648 --a--c--- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 16:05 232960 --a--c--- C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 16:05 193024 --a--c--- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 16:05 1152000 --a--c--- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 16:05 105984 --a--c--- C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 16:05 102400 --a--c--- C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 16:04 6058496 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 16:04 44544 --a--c--- C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 16:04 384512 --a--c--- C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 16:04 383488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 16:04 267776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 16:04 230400 --a--c--- C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 16:04 153088 --a--c--- C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 16:04 132608 --a--c--- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 16:04 124928 --a--c--- C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:27 63488 --a--c--- C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 10:26 625152 --a--c--- C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 09:00 161792 --a--c--- C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 08:08 1104896 --a--c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a--c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-11 23:51 10834944 --a--c--- C:\WINDOWS\system32\dllcache\wmp.dll
2007-06-10 22:06 6147072 --a------ C:\WINDOWS\system32\logonuiX.exe
2007-06-06 09:53 407152 --a------ C:\WINDOWS\system32\pr2agqwb.exe
2007-06-02 11:46 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-06-01 08:20 51568 --a------ C:\WINDOWS\system32\sirenacm.dll
2007-05-28 13:31 21840 --a------ C:\WINDOWS\system32\SIntfNT.dll
2007-05-28 13:31 17212 --a------ C:\WINDOWS\system32\SIntf32.dll
2007-05-28 13:31 12067 --a------ C:\WINDOWS\system32\SIntf16.dll
2007-05-18 03:58 339968 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-05-18 03:58 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-05-18 03:57 268288 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-05-18 03:57 2164736 --a--c--- C:\WINDOWS\system32\dllcache\ati2mtag.sys
2007-05-18 03:51 139264 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-05-18 03:50 42496 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-05-18 03:50 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-05-18 03:50 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-05-18 03:49 479232 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-05-18 03:48 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-05-18 03:41 2922144 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-05-18 03:39 7610368 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-05-18 03:30 1512960 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-05-18 03:19 5431296 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-05-18 03:17 262144 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-05-18 03:16 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-05-18 03:14 46592 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-05-18 03:10 368640 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-05-17 21:05 520192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-05-17 13:28 549376 --a--c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-05-17 13:28 549376 --a------ C:\WINDOWS\system32\oleaut32.dll
2007-05-16 19:55 407152 --a------ C:\WINDOWS\system32\pr2agqwc.exe
2007-05-16 17:12 85504 --a--c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 --a--c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 --a--c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a--c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 1314816 --a--c--- C:\WINDOWS\system32\dllcache\msoe.dll
2006-08-26 16:01 457 --a------ C:\Programme\INSTALL.LOG


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}]
C:\WINDOWS\system32\winload.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 16:22 C:\WINDOWS\soundman.exe]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2005-03-15 11:46]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 17:35]
"LVCOMS"="C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 17:54]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-06-15 12:36]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"DeathAdder"="C:\Programme\Razer\DeathAdder\razerhid.exe" [2006-12-06 22:30]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22]
"Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" []
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 18:38]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10]
"WebCamRT.exe"="" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-14 18:45]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
Ashampoo Magical Defrag.lnk - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe [2007-05-07 12:58:06]
Last.fm Helper.lnk - E:\ProgrammeII\Last.fm\LastFMHelper.exe [2007-07-11 10:17:03]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}"= C:\WINDOWS\system32\winload.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-12-06 21:16 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=wbsys.dll

R0 pe3agqwb;Loki Environment Driver (pe3agqwb);C:\WINDOWS\system32\drivers\pe3agqwb.sys
R0 pe3agqwc;Loki Environment Driver (pe3agqwc);C:\WINDOWS\system32\drivers\pe3agqwc.sys
R0 ps6agqwb;Loki Synchronization Driver (ps6agqwb);C:\WINDOWS\system32\drivers\ps6agqwb.sys
R0 ps6agqwc;Loki Synchronization Driver (ps6agqwc);C:\WINDOWS\system32\drivers\ps6agqwc.sys
R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys
R3 STV673;TerraCAM USB;C:\WINDOWS\system32\drivers\STV673.sys
S2 pr2agqwb;Loki Drivers Auto Removal (pr2agqwb);C:\WINDOWS\system32\pr2agqwb.exe svc
S2 pr2agqwc;Loki Drivers Auto Removal (pr2agqwc);C:\WINDOWS\system32\pr2agqwc.exe svc
S3 APLMp50;APLMp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\APLMp50.sys
S3 F-Secure BlackLight Sensor;F-Secure BlackLight Sensor;C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\F-Secure\Anti-Virus\fsblsrv.exe
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys
S3 fsbl;F-Secure BlackLight Engine Driver;\??\C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsbldrv.sys
S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys
S3 gkmixern;gkmixern;\??\C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\gkmixern.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-16 14:26:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-16 14:29:04 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-16 14:28

--- E O F ---


Vielen Dank nochmal!

#4 Uh, da hat die Malware aber gut gewuetet. Teste C:\WINDOWS\explorer.exe bei Jotti oder Virustotal und stelle bitte ein Hijackthis Report ein.
__________
MfG Ralf
SEO-Spam Hunter

#5 Ja ich hatte auch zu kämpfen das ganze im Zaun zu halten.

Hier is der HJT Report:

Logfile of HijackThis v1.99.1
Scan saved at 15:00:16, on 16.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
E:\ProgrammeII\Last.fm\LastFMHelper.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\defragActivityMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Razer\DeathAdder\razertra.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\ProgrammeII\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metal.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\system32\winload.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O4 - Global Startup: Last.fm Helper.lnk = E:\ProgrammeII\Last.fm\LastFMHelper.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156841958140
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure BlackLight Sensor - Unknown owner - C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\F-Secure\Anti-Virus\fsblsrv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Cyanide - C:\WINDOWS\system32\pr2agqwb.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\WINDOWS\system32\pr2agqwc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe



Virustotal:

Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.14 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.10 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.15 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.16 -
weitere Informationen
File size: 1036288 bytes
MD5: 64d320c0e301eedc5a4adbbdc5024f7f
SHA1: 31e7d89607ba519b1473f6449f5e638282feb6c6

#6 Die explorer exe dann bitte packen und an virus@protecus.de schicken, oder mit Passwort versehen und hier anhaengen. Passwort bitte via PM an mich.

Nachtrag. 'Bitte einmal ANtivir von free-av.de installieren und wie folgt einstellen: http://board.protecus.de/t23979.htm funde bitte nicht loeschen, sondern report hier erst einstellen.
__________
MfG Ralf
SEO-Spam Hunter

#7 C:\WINDOWS\system32\msdnc4.exe
C:\WINDOWS\system32\msdnc3.exe

Solltest du auch noch pruefen lassen...
__________
MfG Ralf
SEO-Spam Hunter

#8 C:\WINDOWS\system32\msdnc4.exe

Ergebnis: 18/32 (56.25%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.15.0 2007.08.16 Win-Trojan/Krotten.54442
AntiVir 7.4.1.62 2007.08.16 WORM/Zhelatin.Gen
Authentium 4.93.8 2007.08.16 W32/Krotten.A
Avast 4.7.1029.0 2007.08.15 Win32:Tibs-BED
AVG 7.5.0.476 2007.08.16 Agent.DD
BitDefender 7.2 2007.08.16 Trojan.Krotten.B
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.10 suspicious Trojan/Worm
eTrust-Vet 31.1.5064 2007.08.16 Win32/Vxidl.FT
Ewido 4.0 2007.08.16 Trojan.Agent.ht
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.15 W32/Krotten.A
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 Packed.Win32.Tibs.bg
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 StartPage-IP
Microsoft 1.2803 2007.08.16 Worm:Win32/Nuwar.WR
NOD32v2 2466 2007.08.16 a variant of Win32/Spy.Nuklus
Norman 5.80.02 2007.08.16 W32/Tibs.AOBB
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 Generic.Malware
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 Mal/Dorf-A
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 -
Webwasher-Gateway 6.0.1 2007.08.16 Worm.Zhelatin.Gen
weitere Informationen
File size: 40041 bytes
MD5: 77b88f579bb12ae25e71a8fbb92e0bea
SHA1: 88be06b6f5258f95ded5e6865e3faa7ad9472554
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=2101ABC669F18CA49C6600F46E424E001D1637C4


C:\WINDOWS\system32\msdnc3.exe

Ergebnis: 11/31 (35.49%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 Worm/Wigon.AB
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 Win32/PolyCrypt
BitDefender 7.2 2007.08.16 Trojan.PWS.LDPinch.TAW
CAT-QuickHeal 9.00 2007.08.16 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.10 Suspicious Trojan/Worm
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.15 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 Trojan-PWS.LDPinch.TAW
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 TrojanDownloader:Win32/Small.CBA
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Rising 19.36.32.00 2007.08.16 Packer.RyCrypt
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 VIPRE.Suspicious
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.15 Trojan.DR.Cimuz.Gen.1
Webwasher-Gateway 6.0.1 2007.08.16 Worm.Wigon.AB
weitere Informationen
File size: 23271 bytes
MD5: 5cddac4f57fac12c78c5a23d9b2d5d7b
SHA1: f21495382a6308ee599bf7e0426d0cd3973c5a45
packers: RCrypt
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Das sieht schon weniger gut aus,
AnTiVir werd ich jetzt einstellen.

Info raman: Anhang geloescht

#9 Mal schauen, was Antivir noch alles bringt...
__________
MfG Ralf
SEO-Spam Hunter

#10 So endlich hat Antivir alles durchloffen



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 16. August 2007 16:10

Es wird nach 1025610 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: WindowsXP
Computername: WINDOWS_XP

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 14:09:15
ANTIVIR2.VDF : 6.39.0.226 1223680 Bytes 10.08.2007 14:09:15
ANTIVIR3.VDF : 6.39.1.9 231424 Bytes 16.08.2007 14:09:15
AVEWIN32.DLL : 7.4.1.62 2724352 Bytes 16.08.2007 14:09:15
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 16.08.2007 14:09:15
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 16. August 2007 16:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LastFM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mantispm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScanningProcess.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScanningProcess.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'defragActivityMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LastFMHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aDefragCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aDefragService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'type32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '27' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\WindowsXP\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5znwncs6.default\Cache\1102B07Ed01
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/Paypalfraud.T
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\QooBox\Quarantine\C\WINDOWS\deskcfg.dat.vir
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\QooBox\Quarantine\C\WINDOWS\system32\dllh8jkd1q1.exe.vir
[FUND] Ist das Trojanische Pferd TR/Peed.IEV
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\QooBox\Quarantine\C\WINDOWS\system32\dllh8jkd1q2.exe.vir
[FUND] Ist das Trojanische Pferd TR/Peed.IEV.1
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\QooBox\Quarantine\C\WINDOWS\system32\dllh8jkd1q5.exe.vir
[FUND] Enthält Signatur des Wurmes WORM/Zhelatin.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\QooBox\Quarantine\C\WINDOWS\system32\dllh8jkd1q6.exe.vir
[FUND] Enthält Signatur des Wurmes WORM/Zhelatin.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\WINDOWS\nircmd.exe
[FUND] Enthält Signatur der Anwendung APPL/NirCmd.1
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\WINDOWS\system32\msdnc3.exe
[FUND] Enthält Signatur des Wurmes WORM/Wigon.AB
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
Beginne mit der Suche in 'E:\' <Lokaler Datenträger>
E:\ProgrammeII\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Signatur der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47318de5.qua' verschoben!
Beginne mit der Suche in 'D:\' <Audio CD>


Ende des Suchlaufs: Donnerstag, 16. August 2007 20:18
Benötigte Zeit: 4:08:11 min

Der Suchlauf wurde vollständig durchgeführt.

7940 Verzeichnisse wurden überprüft
510584 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
510575 Dateien ohne Befall
2182 Archive wurden durchsucht
9 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden


Ich habe vorerst alles in Quarantäne gelegt, bei einigen Trojanern aus QooBox will er sie jedoch durch Neustart löschen.

Ich wünsche schonmal einen guten Abend. : )

#11 Ich trau dem Braten aber nicht so Richtig. Wigon und Zheltin sind eigentlich dafuer bekannt, Systemdateien zu veraendern. Also im Zweifelsfalle wuerde ich den Rechner neu aufsetzen!
__________
MfG Ralf
SEO-Spam Hunter

#12 Hmm ja ich trau der Sache allerdings auch noch nicht ganz.
nach dem Neustart jetzt ging zumindest Skype wieder an, was warum auch immer, vorher einfach nicht mehr wollte.

Ich werd die Sache mal noch etwas beobachten, die Tage hab ich erstmal noch einiges zu erleidgen.

Wenn dann noch irgendwas nocht ganz stimmt, werd ich das wohl machen müssen.

Danke nochmal für die Hilfe
und habt einen schönen Abend.

MfG
Sebastian