diverse PopUps (z.b. DriveCleaner, SystemDoctor) öffnen sich

#1 Hallo,


seit geraumer Zeit öffnen sich in unregelmäßigen Abständen (alle paar Tage) diverse PopUps, die mich dazu auffordern ein Programm runterzuladen, um Spyware zu entfernen. War mir von Anfang an klar, dass das nur Mist sein kann. Folgende Proggis habe ich auf meinem PC: BitDefenderV10 (nichts gefunden), SpybotS&D (nichts gefunden), AntiVir (nichts gefunden - vor zwei Wochen durch Bitdefender ersetzt), Ad-Aware SE Personal (nichts gefunden).


Scan von Combofix:
ComboFix 07-09-13.3 - "admin" 2007-09-14 11:37:21.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.27 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\admin\ANWEND~1\rbap550.dll
C:\DOKUME~1\admin\ANWEND~1\rbqt550.DLL

.
((((((((((((((((((((((((( Files Created from 2007-08-14 to 2007-09-14 )))))))))))))))))))))))))))))))
.

2007-09-14 11:30 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-09 18:49 <DIR> d-------- C:\DCIM
2007-09-05 13:13 <DIR> d-------- C:\Neuer Ordner (2)
2007-08-31 21:45 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-08-29 10:34 <DIR> d-------- C:\street
2007-08-27 19:37 <DIR> d-------- C:\DOKUME~1\admin\ANWEND~1\Bitdefender
2007-08-27 15:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\BitDefender
2007-08-22 10:24 81,984 --a------ C:\WINDOWS\system32\bdod.bin

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-13 19:01 11426 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-09-09 21:10 --------- d-------- C:\Programme\Ahead
2007-09-08 00:57 --------- d-------- C:\Programme\eMule
2007-09-06 01:43 --------- d-------- C:\DOKUME~1\admin\ANWEND~1\OpenOffice.org2
2007-09-05 00:41 --------- d-------- C:\Programme\Mozilla Firefoxx
2007-08-28 02:07 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-28 02:07 --------- d-------- C:\Programme\epson
2007-08-28 01:48 --------- d-------- C:\DOKUME~1\admin\ANWEND~1\ICQ
2007-08-22 23:44 --------- d-------- C:\Programme\FlashGet
2007-08-22 23:44 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-08-12 22:36 --------- d-------- C:\DOKUME~1\admin\ANWEND~1\Canon
2007-08-06 09:37 --------- d-------- C:\DOKUME~1\admin\ANWEND~1\Apple Computer
2007-08-05 20:12 --------- d-------- C:\Programme\iPod
2007-08-05 20:10 --------- d-------- C:\Programme\QuickTime
2007-08-05 20:08 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-08-05 20:06 --------- d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-08-05 20:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
2007-08-03 14:10 --------- d-------- C:\DOKUME~1\admin\ANWEND~1\Miranda IM
2006-10-07 16:03 457 --a------ C:\Programme\INSTALL.LOG
2001-11-23 06:08 712704 --a------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
1997-10-24 13:20 25088 --a------ C:\WINDOWS\inf\regl3acm.exe
2005-05-13 16:12:00 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13:58 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 20:27:00 422,400 --sha-r C:\WINDOWS\x2.64.exe
2007-05-14 06:12:19 104 --sh--r C:\WINDOWS\system32\3E22812B0C.sys
2007-05-14 10:12:17 8 --sh--r C:\WINDOWS\system32\CD185B751A.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15]
"2kadiras"="2kadiras.exe" [2002-04-12 14:34 C:\WINDOWS\2kadiras.exe]
"Cmaudio"="cmicnfg.cpl" []
"BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [2007-04-02 16:48]
"BDAgent"="C:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
DSLMON.lnk - C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe [2005-01-20 10:36:19]
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2005-01-13 12:14:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"=1 (0x1)
"MaxRecentDocs"=4 (0x4)
"NoSharedDocuments"=01000000
"NoRecentDocsNetHood"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Norton Ghost"=2 (0x2)
"BthServ"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="C:\Sina\iTunes\iTunesHelper.exe"

R1 bdftdif;BitDefender Firewall TDI Filter;\??\C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Firewall\bdftdif.sys
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys
R2 GenPort;GenPort;C:\WINDOWS\system32\drivers\GenPort.sys
R2 MapMem;MapMem;C:\WINDOWS\system32\drivers\MapMem.sys
R2 NTRemap;NTRemap;C:\WINDOWS\system32\drivers\NTRemap.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys
S0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys
S2 DigiChat_4.0_Server;DigiChat 4.0 Server;C:\PROGRA~1\DIGICH~1.0\DIGICH~2.EXE -zglaxservice DigiChat_4.0_Server
S3 DMSKSSRh;DMSKSSRh;\??\C:\DOKUME~1\admin\LOKALE~1\Temp\DMSKSSRh.sys
S3 DVDACCSS;DVDACCSS;\??\C:\PROGRA~1\DVDACC~1\DVDAX.SYS

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-14 11:54:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-14 12:06:12 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-14 12:05
.
--- E O F ---







Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:02, on 14.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefoxx\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dejans Stuff\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1und1.de/
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: WhoisAssistant - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} - C:\Dejan Programme\WhoisAssistant\WhoisAssistantDirect.exe (file missing)
O9 - Extra 'Tools' menuitem: &WhoisAssistant starten - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} - C:\Dejan Programme\WhoisAssistant\WhoisAssistantDirect.exe (file missing)
O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Dejans Stuff\toptip\toptip.exe
O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Dejans Stuff\toptip\toptip.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab40641.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab32846.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106228038859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166094428406
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.hood.de/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - https://www.hood.de/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab41227.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (ZPA_Backgammon Object) - http://zone.msn.com/bingame/zpagames/ZPA_Backgammon.cab40641.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50AFB33B-EDE7-4678-901E-184DA8B298D3}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: Apple Mobile Device - Unknown owner - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Dejan Programme\ewido anti-malware\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DigiChat 4.0 Server (DigiChat_4.0_Server) - Unknown owner - C:\PROGRA~1\DIGICH~1.0\DIGICH~2.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8394 bytes

















datfind.bat:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 9C54-B7D0

Verzeichnis von C:\WINDOWS\system32

14.09.2007 12:29 81.984 bdod.bin
14.09.2007 11:53 0 bdss.log
13.09.2007 19:01 11.426 KGyGaAvL.sys
11.09.2007 10:12 2.422 wpa.dbl
10.08.2007 09:41 352.176 FNTCACHE.DAT
22.07.2007 18:39 279.552 swreg.exe
29.06.2007 06:24 65.536 QuickTimeVR.qtx
29.06.2007 06:24 49.152 QuickTime.qts

2529 Datei(en) 526.329.137 Bytes
0 Verzeichnis(se), 7.191.699.456 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 9C54-B7D0

Verzeichnis von C:\DOKUME~1\admin\LOKALE~1\Temp

14.09.2007 12:31 124.555 datfind.txt
1 Datei(en) 124.555 Bytes
0 Verzeichnis(se), 7.191.703.552 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 9C54-B7D0

Verzeichnis von C:\WINDOWS

14.09.2007 11:53 159 wiadebug.log
14.09.2007 11:53 1.177.468 WindowsUpdate.log
14.09.2007 11:53 50 wiaservc.log
14.09.2007 11:52 0 0.log
14.09.2007 11:52 2.048 bootstat.dat
14.09.2007 11:52 32.638 SchedLgU.Txt
12.09.2007 04:05 653.524 setupapi.log
11.09.2007 23:25 303 videodeLuxe.INI
11.09.2007 13:56 116 NeroDigital.ini
07.09.2007 15:21 1.409 QTFont.for
07.09.2007 15:21 54.156 QTFont.qfn
04.09.2007 12:18 12.862 EPISMG00.SWB
03.09.2007 22:32 6.092 ModemLog_Bluetooth-Modem.txt
25.08.2007 00:40 180.906 wmsetup.log
22.08.2007 18:50 6.104 ModemLog_Bluetooth DUN Modem.txt
22.08.2007 18:50 6.098 ModemLog_Bluetooth Fax Modem.txt
22.08.2007 18:50 2.490 ModemLog_Bluetooth LAP Modem #2.txt
22.08.2007 18:50 2.402 ModemLog_Bluetooth LAP Modem.txt
20.07.2007 00:47 109.056 catchme.exe
04.07.2007 22:31 22.020 DPINST.LOG
17.06.2007 00:11 51.200 NirCmd.exe

306 Datei(en) 18.192.810 Bytes
0 Verzeichnis(se), 7.191.666.688 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 9C54-B7D0

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 9C54-B7D0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 12:21 5.021 swflash.inf

38 Datei(en) 10.056.733 Bytes
0 Verzeichnis(se), 7.191.687.168 Bytes frei
.
.
.





Gruß panpeter

#2 Hmm,

bitte umgehend folgendes File prüfen lassen:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\DOKUME~1\admin\LOKALE~1\Temp\DMSKSSRh.sys
C:\PROGRA~1\DVDACC~1\DVDAX.SYS
C:\WINDOWS\system32\3E22812B0C.sys
C:\WINDOWS\system32\CD185B751A.sys
C:\WINDOWS\meta4.exe
C:\WINDOWS\MOTA113.exe

Poste das Ergebniss mit Filename!
(Achtung: Einige der Files sind System, hidden etc.!)
Daher:
Explorer alle Dateien anzeigen:
Explorer->Extras->Ordneroptionen->Ansicht:
Erweiterung bei bekannten Dateitypen ausblenden -> kein Hacken
Geschützte Systemdateien ausblenden -> kein Hacken
Inhalte von Systemordnern anzeigen -> Hacken setzten
Versteckt Dateien und Ordner -> Alle Dateien und Ordner anzeigen ON (anwählen)


Folgenden Eintrag per HJ fixen:
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!)

Zitat

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

chris

#3 Hallo Chris


die erste Datei DMSKSSRh.sys finde ich nicht. Wenn ich den Pfad bei Virustotal eingebe erscheint folgendes: "0 bytes size received / Se ha recibido un archivo vacio"
das gleiche auch mit der zweiten Datei..



Datei 3E22812B0C.sys :
Datei 3E22812B0C.sys empfangen 2007.09.14 19:46:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)


Datei CD185B751A.sys :
Datei CD185B751A.sys empfangen 2007.09.14 19:48:11 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)


Datei meta4.exe :
Datei meta4.exe empfangen 2007.09.14 19:57:13 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/32 (12.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: ---diesen Text sieht man garnicht, nur nach dem kopieren!---

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 -
Authentium 4.93.8 2007.09.14 -
Avast 4.7.1043.0 2007.09.14 -
AVG 7.5.0.485 2007.09.14 -
BitDefender 7.2 2007.09.14 -
CAT-QuickHeal 9.00 2007.09.14 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.14 -
DrWeb 4.33 2007.09.14 -
eSafe 7.0.15.0 2007.09.13 suspicious Trojan/Worm
eTrust-Vet 31.1.5135 2007.09.14 -
Ewido 4.0 2007.09.14 -
FileAdvisor 1 2007.09.14 -
Fortinet 3.11.0.0 2007.09.14 -
F-Prot 4.3.2.48 2007.09.13 -
F-Secure 6.70.13030.0 2007.09.14 -
Ikarus T3.1.1.12 2007.09.14 -
Kaspersky 4.0.2.24 2007.09.14 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.14 -
NOD32v2 2530 2007.09.14 -
Norman 5.80.02 2007.09.14 -
Panda 9.0.0.4 2007.09.14 Suspicious file
Prevx1 V2 2007.09.14 -
Rising 19.40.42.00 2007.09.14 -
Sophos 4.21.0 2007.09.14 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.14 -
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.14 -
VirusBuster 4.3.26:9 2007.09.14 -
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 217073 bytes
MD5: fce9e5f5c7ce6d7b1ec49b5ce07070c9
SHA1: 2ca7b4304072b5a2634bae8dbb496ab2ebbc921a
packers: UPX
packers: UPX
packers: UPX


Datei MOTA113.exe :
Datei MOTA113.exe empfangen 2007.09.14 19:49:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/32 (18.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: ---diesen Text sieht man garnicht, nur nach dem kopieren!---

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 -
Authentium 4.93.8 2007.09.14 -
Avast 4.7.1043.0 2007.09.14 -
AVG 7.5.0.485 2007.09.14 -
BitDefender 7.2 2007.09.14 -
CAT-QuickHeal 9.00 2007.09.14 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.14 -
DrWeb 4.33 2007.09.14 -
eSafe 7.0.15.0 2007.09.13 suspicious Trojan/Worm
eTrust-Vet 31.1.5135 2007.09.14 -
Ewido 4.0 2007.09.14 -
FileAdvisor 1 2007.09.14 Low threat detected
Fortinet 3.11.0.0 2007.09.14 -
F-Prot 4.3.2.48 2007.09.13 -
F-Secure 6.70.13030.0 2007.09.14 -
Ikarus T3.1.1.12 2007.09.14 -
Kaspersky 4.0.2.24 2007.09.14 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.14 -
NOD32v2 2530 2007.09.14 -
Norman 5.80.02 2007.09.14 -
Panda 9.0.0.4 2007.09.14 Suspicious file
Prevx1 V2 2007.09.14 -
Rising 19.40.42.00 2007.09.14 -
Sophos 4.21.0 2007.09.14 -
Sunbelt 2.2.907.0 2007.09.13 VIPRE.Suspicious
Symantec 10 2007.09.14 -
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.14 -
VirusBuster 4.3.26:9 2007.09.14 -
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen!88 (suspicious)
weitere Informationen
File size: 66560 bytes
MD5: f3f62f42e5ea4e65736338c0c43ad5c0
SHA1: d45071ec1fd1e805494dc04f5119f6d757e26729
packers: TELOCK
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=f3f62f42e5ea4e65736338c0c43ad5c0
packers: TeLock
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

#4 Entferne auf C:\Qoobox-->Papierkorb leeren

Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\bdss.log

im linken Fenster ,wo steht " Paste List of Files/Folders to be moved "

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Scanne mit Ewido Micro
Danach wähle “remove infections”
__________
MfG Argus

#5 OTMoveIt:
C:\WINDOWS\system32\bdod.bin moved successfully.
File move failed. C:\WINDOWS\system32\bdss.log scheduled to be moved on reboot.

Created on 09.14.2007 23:11:56



Ewido Micro findet außer ein paaer Cookies nichts...

#6 Entferne auf C:\_OTMoveIt\ -->Papierkorb leeren

Dein Java software ist veraltet,
Download jre-6u2-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe”

Benutze von Spybot s&d die Immunisier Funktion
__________
MfG Argus

#7 Java ist nun installiert..

Spybot s&d verwende ich jede woche ---> die Immunisier Funktion iist aktuell.

#8 Gibt es noch Probleme?
Du hast AVG Anti Spyware 7.5 wieder entfernt?
Mehrere Antispyware Programme sind kein Problem
__________
MfG Argus

#9 Keine Ahnung, wenn sich wieder ein PopUp öffnet, dann geb ich Bescheid. Ist halt nur komisch, weil die bisherigen Programme nichts gefunden haben. Von nichts kommt nichts, du weißt was ich meine?

Gruß