windows security alert, spyware alert, 3 symbole auf desktop und in favoriten

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.09.2007, 09:38
...neu hier

Beiträge: 5
#1 hallo, ich weiß, dass es solche und ähnliche themen schon gibt. ich habe auch viel gelesen und versucht mir selber zu helfen, doch leider komme ich nicht mehr weiter bzw. stellt sich kein dauerhafter (!) erfolg ein.
zu erst hatte ich diese drei symbole (error cleaner, privacy protector, spyware & malware protection) auf meinem desktop und auch in der favoriten-liste vom IE. dann kamen auch schon die fenster. zuerst windows security alert! wenn ichs wegklicke öffnet sich eine internetseite mit werbung für ein virusprogramm! dann öffent sich noch ein fenster mit dem titel "spyware alert". die startseite ist anders und lässt sich nicht mehr ändern. der pc läuft insgesamt auch langsamer. in der taskleiste ist ein rotes wappen mit weißem kreuz, dass immer blinkt.
das habt ihr bestimmt schon sehr oft gelesen. dann habe ich mir smitfraudfix runtergeladen und angewendet. hat auch super funktioniert. der "erfolg" hielt nur etwa 4h, dann war alles wieder wie vorher.
antivir sowie spybot sd habe ich auch durchlaufen lassen. bei spybot kamen auch einige sachen, die ich reparieren lassen hab. antivir findet auch immer ein verstecktes programm in c:\windows\div32.dll und c:\windows\drvsvp.dll.
combofix funktioniert im normalen zustand nicht. geht das auch im abgesichertem modus?? ich habe es noch nicht getestet (angst!!).
bitte, bitte, bitte helft mir, bitte!!!

hijack this report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:00:25, on 28.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\scvhost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\PROGRA~1\SCROLL~1\GNETMOUS.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.divx.com/divx/drdivx/forgot.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.tu-dresden.de:3128
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: MSVPS System - {428FA4A4-C8EC-427C-85DE-11C80F67893A} - C:\WINDOWS\div32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=092907 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\system32\E_S7F.tmp"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119643116156
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4861/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wh6.tu-dresden.de
O17 - HKLM\Software\..\Telephony: DomainName = wh6.tu-dresden.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer = 192.168.8.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE8409F-8927-4D73-830A-F45B72FFD1D3}: NameServer = 141.30.228.39,141.30.228.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{59ECE3C6-AFD0-4E4D-B588-5F3C0B61BBDC}: NameServer = 141.30.228.39,141.30.228.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9264BC2-006A-4D43-9177-3070F13AE058}: NameServer = 192.168.8.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F436D15C-D32D-4D44-988C-D384563F4274}: NameServer = 141.30.228.39,141.30.28.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wh6.tu-dresden.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer = 192.168.8.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = wh6.tu-dresden.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer = 192.168.8.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: drvsvp - {714F816E-741D-473A-ADC5-7406F53A759D} - (no file)
O21 - SSODL: msmduo - {5CB25A8E-C115-495B-AB21-4C0F6E4DDCB1} - (no file)
O21 - SSODL: mssql - {1D3656B0-9755-41EF-BE4B-58750776DC76} - C:\WINDOWS\mssql.dll
O21 - SSODL: syscore - {E05D02A1-1772-44A7-8AA1-1039544267A1} - C:\WINDOWS\syscore.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 11798 bytes

und noch von smitfraudfix:

SmitFraudFix v2.229

Scan done at 9:03:45,00, 28.09.2007
Run from C:\Dokumente und Einstellungen\Nicole\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\scvhost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\PROGRA~1\SCROLL~1\GNETMOUS.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nicole


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nicole\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Nicole\FAVORI~1

C:\DOKUME~1\Nicole\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\Nicole\FAVORI~1\Privacy Protector.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\Nicole\Desktop\Error Cleaner.url FOUND !
C:\DOKUME~1\Nicole\Desktop\Privacy Protector.url FOUND !
C:\DOKUME~1\Nicole\Desktop\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 141.30.228.39
DNS Server Search Order: 141.30.28.4

HKLM\SYSTEM\CCS\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer=192.168.8.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2AE8409F-8927-4D73-830A-F45B72FFD1D3}: NameServer=141.30.228.39,141.30.228.4
HKLM\SYSTEM\CCS\Services\Tcpip\..\{59ECE3C6-AFD0-4E4D-B588-5F3C0B61BBDC}: NameServer=141.30.228.39,141.30.228.4
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C9264BC2-006A-4D43-9177-3070F13AE058}: NameServer=192.168.8.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F436D15C-D32D-4D44-988C-D384563F4274}: NameServer=141.30.228.39,141.30.28.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer=192.168.8.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2AE8409F-8927-4D73-830A-F45B72FFD1D3}: NameServer=141.30.228.39,141.30.228.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{59ECE3C6-AFD0-4E4D-B588-5F3C0B61BBDC}: NameServer=141.30.228.39,141.30.228.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C9264BC2-006A-4D43-9177-3070F13AE058}: NameServer=192.168.8.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F436D15C-D32D-4D44-988C-D384563F4274}: NameServer=141.30.228.39,141.30.28.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer=192.168.8.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2AE8409F-8927-4D73-830A-F45B72FFD1D3}: NameServer=141.30.228.39,141.30.228.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{59ECE3C6-AFD0-4E4D-B588-5F3C0B61BBDC}: NameServer=141.30.228.39,141.30.228.4
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C9264BC2-006A-4D43-9177-3070F13AE058}: NameServer=192.168.8.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F436D15C-D32D-4D44-988C-D384563F4274}: NameServer=141.30.228.39,141.30.28.4


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

schon mal jetzt DANKE für die hilfe!
Seitenanfang Seitenende
28.09.2007, 10:09
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)
Neu Starten

Dein Rechner ist hochgradig verseucht!

O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
...


Würde mich interessieren was es ist, daher:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\scvhost.exe
C:\WINDOWS\mssql.dll
C:\WINDOWS\syscore.dll
Poste das Ergebnisse mit Filename...

Killbox:
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\scvhost.exe
C:\WINDOWS\mssql.dll (nur falls erkannt)
C:\WINDOWS\syscore.dll (nur falls erkannt)

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Die falschen Einträge mit HJ-fixen:
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!)

Zitat


O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O21 - SSODL: drvsvp - {714F816E-741D-473A-ADC5-7406F53A759D} - (no file)
O21 - SSODL: msmduo - {5CB25A8E-C115-495B-AB21-4C0F6E4DDCB1} - (no file)
O21 - SSODL: mssql - {1D3656B0-9755-41EF-BE4B-58750776DC76} - C:\WINDOWS\mssql.dll
O21 - SSODL: syscore - {E05D02A1-1772-44A7-8AA1-1039544267A1} - C:\WINDOWS\syscore.dll


Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts “SophosReport.tx t” der jetzt auf dein Desktop steht in diesen Thread

Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in dem Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst friert dein Rechner ein
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Poste es zusammen mit einem neuen log von HijackThis


Chris
(Hoffe ich habe alle erwischt.... ;o)
Dieser Beitrag wurde am 28.09.2007 um 11:24 Uhr von Chris4You editiert.
Seitenanfang Seitenende
28.09.2007, 12:24
...neu hier

Themenstarter

Beiträge: 5
#3 mein rechner ist hochgradig verseucht?? *heul*
vielen dank für die schnelle antwort!!!

Resultate virustotal:

C:\WINDOWS\scvhost.exe
File scvhost.exe received on 09.28.2007 11:11:10 (CET)
Current status: finished
Result: 10/32 (31.25%)

Antivirus Version Last Update Result
AhnLab-V3 2007.9.28.1 2007.09.28 -
AntiVir 7.6.0.15 2007.09.28 HEUR/Crypted
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 Win32:VB-BLW
AVG 7.5.0.488 2007.09.27 -
BitDefender 7.2 2007.09.28 MemScan:Backdoor.VB.BKC
CAT-QuickHeal 9.00 2007.09.27 -
ClamAV 0.91.2 2007.09.28 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.27 -
FileAdvisor 1 2007.09.28 -
Fortinet 3.11.0.0 2007.09.28 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.28 MemScanBackdoor.VB.BKC
Kaspersky 7.0.0.125 2007.09.28 -
McAfee 5129 2007.09.27 BackDoor-ASB
Microsoft 1.2803 2007.09.28 -
NOD32v2 2557 2007.09.28 -
Norman 5.80.02 2007.09.27 -
Panda 9.0.0.4 2007.09.28 -
Prevx1 V2 2007.09.28 Malware.Gen
Rising 19.42.41.00 2007.09.28 -
Sophos 4.21.0 2007.09.28 -
Sunbelt 2.2.907.0 2007.09.28 VIPRE.Suspicious
Symantec 10 2007.09.28 Backdoor.Trojan
TheHacker 6.2.6.073 2007.09.28 W32/Behav-Heuristic-064
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.27 -
Webwasher-Gateway 6.0.1 2007.09.28 Heuristic.Crypted
Additional information
File size: 1609175 bytes
MD5: 2fe1ca1a40ccbca570bfcd4b00659cd7
SHA1: 14480bd137b89a3ecb80ea847c870bc75e12de94
packers: Themida
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=B14978E2D77E5CA08D75185D4CBE69009EF80A6D
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


C:\WINDOWS\syscore.dll
File syscore.dll received on 09.28.2007 11:28:37 (CET)
Current status: finished
Result: 8/32 (25%)

Antivirus Version Last Update Result
AhnLab-V3 2007.9.28.1 2007.09.28 -
AntiVir 7.6.0.15 2007.09.28 ADSPY/AdClicker.P
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 Win32:Agent-LTS
AVG 7.5.0.488 2007.09.27 -
BitDefender 7.2 2007.09.28 -
CAT-QuickHeal 9.00 2007.09.27 AdWare.Agent.km (Not a Virus)
ClamAV 0.91.2 2007.09.28 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.27 -
FileAdvisor 1 2007.09.28 -
Fortinet 3.11.0.0 2007.09.28 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.28 -
Kaspersky 7.0.0.125 2007.09.28 not-a-virus:AdWare.Win32.Agent.ko
McAfee 5129 2007.09.27 -
Microsoft 1.2803 2007.09.28 Program:Win32/UltimateDefender
NOD32v2 2557 2007.09.28 Win32/Adware.Agent.NFW
Norman 5.80.02 2007.09.27 -
Panda 9.0.0.4 2007.09.28 -
Prevx1 V2 2007.09.28 Heuristic: Suspicious File With Bad Parent Associations
Rising 19.42.42.00 2007.09.28 -
Sophos 4.21.0 2007.09.28 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.28 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.27 -
Webwasher-Gateway 6.0.1 2007.09.28 Ad-Spyware.AdClicker.P
Additional information
File size: 229376 bytes
MD5: 3bb607bd06c634d0caebd51c3cc44d3b
SHA1: d3235ad01b6294d0b96b6f8b99ced4c2d2aaed55
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=2A96DB320001E6738022039819EC1000CB66828F

die mittlere datei C:\WINDOWS\mssql.dll hat keine resultate gebracht. da hat sich antivir gemeldet und virustotal hat nichts gefunden!


combofix-report:

ComboFix 07-09-21.2 - "Nicole" 2007-09-28 12:12:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.370 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-28 ))))))))))))))))))))))))))))))
.

2007-09-28 12:00 <DIR> d-------- C:\WINDOWS\ERUNT
2007-09-28 11:37 <DIR> d-------- C:\!KillBox
2007-09-27 12:59 <DIR> d-------- C:\Programme\iPod
2007-09-26 09:55 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-26 09:09 <DIR> d-------- C:\Programme\Trend Micro
2007-09-26 08:22 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Eigene Dateien
2007-09-26 08:21 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten
2007-09-26 08:21 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Google
2007-09-25 16:30 3,624 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-23 19:06 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2007-09-18 20:48 85 --a------ C:\WINDOWS\scvhost.exe.bat
2007-09-18 20:39 67,119 --a------ C:\WINDOWS\ijl11.dll
2007-09-11 09:41 <DIR> d-------- C:\Programme\iTunes
2007-09-11 09:40 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-09-11 09:38 <DIR> d-------- C:\Programme\Apple Software Update
2007-09-01 08:19 <DIR> d-------- C:\Programme\MSBuild
2007-09-01 08:19 <DIR> d-------- C:\Programme\Microsoft Works
2007-09-01 08:16 <DIR> d-------- C:\Programme\Microsoft.NET
2007-09-01 08:12 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2007-09-01 08:11 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-09-01 08:09 <DIR> dr-h----- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-28 09:08 --------- d-------- C:\Programme\ICQToolbar
2007-09-25 22:18 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
2007-09-25 16:55 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-25 16:08 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-09-08 09:31 --------- d-------- C:\Programme\ICQ6
2007-09-01 08:29 --------- d-------- C:\DOKUME~1\Nicole\ANWEND~1\OpenOffice.org2
2007-08-07 09:41 --------- d-------- C:\Programme\GeckoDesktop
2007-08-06 21:29 3479024 --a------ C:\WINDOWS\AubadeHomme.SCR
2007-08-06 21:29 --------- d-------- C:\DOKUME~1\Nicole\ANWEND~1\iScreensaver
2007-08-01 22:38 --------- d-------- C:\Programme\Anti-Leech
2007-08-01 22:36 --------- d-------- C:\Programme\ReGetDx
2007-08-01 22:36 --------- d-------- C:\Programme\Gemeinsame Dateien\ReGet Shared
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2001-11-23 06:08 712704 --a------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2001-03-28 13:02 122880 --a------ C:\WINDOWS\inf\Agfa\message.exe
2004-11-08 01:45:40 104 --sh--r C:\WINDOWS\system32\9801DD1117.sys
2004-11-08 18:04:52 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CorelDRAW Graphics Suite 11b"="C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe" [2003-11-28 01:56]
"FinePrint Dispatcher v5"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2004-01-12 13:39]
"mouseElf"="C:\PROGRA~1\SCROLL~1\GNETMOUS.EXE" [2004-02-24 07:30]
"MimBoot"="C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe" [2006-11-07 16:41]
"MMTray"="C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-11-07 16:41]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-05 21:35]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-14 10:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus COLOR 580"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.exe" [2000-04-26 03:05]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 13:39]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-09-28 11:04]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^EPSON Status Monitor 3 Environment Check.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check.lnk
backup=C:\WINDOWS\pss\EPSON Status Monitor 3 Environment Check.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Nicole^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=C:\Dokumente und Einstellungen\Nicole\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Quick TV Agent]
C:\Programme\Terminator\Quick TV\Scheduled.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"gusvc"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

R3 actser;actser;C:\WINDOWS\system32\drivers\actser.sys
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys
R3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\system32\DRIVERS\ati2mpaa.sys
S3 EL59X;3Com Fast EtherLink 59x Adapter Driver;C:\WINDOWS\system32\DRIVERS\el59x.sys
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
S3 rtl8029;NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter;C:\WINDOWS\system32\DRIVERS\RTL8029.SYS
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys
S3 TIAcxubt;D-Link WLAN USB Boot Device;C:\WINDOWS\system32\Drivers\tiacxubt.sys
S3 TIACXUSB;D-Link AirPlus DWL-120+ Wireless USB Adapter;C:\WINDOWS\system32\Drivers\tiacxusb.sys

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8E9F0AB-A90F-A0D3-C671-E00A6805FAA9}]
C:\WINDOWS\scvhost.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-08-31 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
"2007-09-27 10:57:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-28 12:13:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-28 12:14:37
.
--- E O F ---

hijackThis-report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:16:13, on 28.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\PROGRA~1\SCROLL~1\GNETMOUS.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.divx.com/divx/drdivx/forgot.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.tu-dresden.de:3128
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=092907 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\system32\E_S7F.tmp"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119643116156
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4861/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wh6.tu-dresden.de
O17 - HKLM\Software\..\Telephony: DomainName = wh6.tu-dresden.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer = 192.168.8.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE8409F-8927-4D73-830A-F45B72FFD1D3}: NameServer = 141.30.228.39,141.30.228.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{59ECE3C6-AFD0-4E4D-B588-5F3C0B61BBDC}: NameServer = 141.30.228.39,141.30.228.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9264BC2-006A-4D43-9177-3070F13AE058}: NameServer = 192.168.8.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F436D15C-D32D-4D44-988C-D384563F4274}: NameServer = 141.30.228.39,141.30.28.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wh6.tu-dresden.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer = 192.168.8.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = wh6.tu-dresden.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{06226955-84A4-48E8-AB2F-D35492994FA3}: NameServer = 192.168.8.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 10027 bytes

ich hoffe ich habe nichts vergessen zu posten!
vielen lieben dank noch mal!
Seitenanfang Seitenende
28.09.2007, 13:13
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Kopiere den Inhalt des Berichts “SophosReport.txt”

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\!KillBox
C:\WINDOWS\scvhost.exe.bat

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8E9F0AB-A90F-A0D3-C671-E00A6805FAA9}]


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Benutze ATF cleaner http://board.protecus.de/t23188.htm

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus
Seitenanfang Seitenende
28.09.2007, 13:26
...neu hier

Themenstarter

Beiträge: 5
#5 meinst du das??


SDFix: Version 1.107

Run by Nicole on 2007-09-28 at 12:01

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\DOKUME~1\Nicole\Desktop\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\SIRENA~1.DLL - Deleted
C:\Dokumente und Einstellungen\Nicole\Desktop\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Nicole\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Nicole\Desktop\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Nicole\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Nicole\Desktop\Spyware&Malware Protection.url - Deleted
C:\Dokumente und Einstellungen\Nicole\Favoriten\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\advpn.dll - Deleted
C:\WINDOWS\dat.txt - Deleted
C:\WINDOWS\div32.dll - Deleted
C:\WINDOWS\drvsvp.dll - Deleted
C:\WINDOWS\msmduo.dll - Deleted
C:\WINDOWS\offlog.txt - Deleted
C:\WINDOWS\rs.txt - Deleted
C:\WINDOWS\search_res.txt - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD6\\WinDVD.exe:*;)isabled:WinDVD"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Programme\\WEB.DE\\WEB.DE Screensaver\\TraySvr.exe"="C:\\Programme\\WEB.DE\\WEB.DE Screensaver\\TraySvr.exe:*;)isabled:MFC-Anwendung TraySvr"
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Anti-Leech\\ALIE_1.0.2.3\\alhlp.exe"="C:\\Programme\\Anti-Leech\\ALIE_1.0.2.3\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

Remaining Files:
---------------

File Backups: - C:\DOKUME~1\Nicole\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 18 Sep 2007 1,609,175 A.SH. --- "C:\!KillBox\scvhost.exe"
Mon 8 Nov 2004 104 ..SHR --- "C:\WINDOWS\system32\9801DD1117.sys"
Mon 8 Nov 2004 5,852 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 3 Jan 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 3 Jan 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 25 Oct 2006 42,496 ...H. --- "C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\~WRL0170.tmp"
Wed 25 Oct 2006 45,568 ...H. --- "C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\~WRL0851.tmp"
Thu 26 Oct 2006 19,968 ...H. --- "C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\~WRL1222.tmp"
Thu 26 Oct 2006 19,456 ...H. --- "C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\~WRL1566.tmp"
Wed 25 Oct 2006 43,008 ...H. --- "C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\~WRL2258.tmp"
Wed 25 Oct 2006 44,544 ...H. --- "C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\~WRL3268.tmp"
Thu 26 Oct 2006 19,968 ...H. --- "C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\~WRL3734.tmp"

Finished!
Seitenanfang Seitenende
28.09.2007, 13:37
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Ja ;)
Entferne auf C:\SDFix\ backups -->papierkorb leeren

Und ein Tip:Waehrend die sauberung muss Teatimer abgeschaltet bleiben!
__________
MfG Argus
Seitenanfang Seitenende
28.09.2007, 15:58
...neu hier

Themenstarter

Beiträge: 5
#7 das neue log von combofix:

ComboFix 07-09-21.2 - "Nicole" 2007-09-28 14:13:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.356 [GMT 2:00]
Command switches used :: C:\Dokumente und Einstellungen\Nicole\Desktop\cfscript.txt
* Created a new restore point
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-28 ))))))))))))))))))))))))))))))
.

2007-09-28 12:00 <DIR> d-------- C:\WINDOWS\ERUNT
2007-09-28 11:37 <DIR> d-------- C:\!KillBox
2007-09-27 12:59 <DIR> d-------- C:\Programme\iPod
2007-09-26 09:55 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-26 09:09 <DIR> d-------- C:\Programme\Trend Micro
2007-09-26 08:22 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Eigene Dateien
2007-09-26 08:21 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten
2007-09-26 08:21 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Google
2007-09-25 16:30 3,624 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-23 19:06 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2007-09-18 20:48 85 --a------ C:\WINDOWS\scvhost.exe.bat
2007-09-18 20:39 67,119 --a------ C:\WINDOWS\ijl11.dll
2007-09-11 09:41 <DIR> d-------- C:\Programme\iTunes
2007-09-11 09:40 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-09-11 09:38 <DIR> d-------- C:\Programme\Apple Software Update
2007-09-01 08:19 <DIR> d-------- C:\Programme\MSBuild
2007-09-01 08:19 <DIR> d-------- C:\Programme\Microsoft Works
2007-09-01 08:16 <DIR> d-------- C:\Programme\Microsoft.NET
2007-09-01 08:12 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2007-09-01 08:11 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-09-01 08:09 <DIR> dr-h----- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-28 09:08 --------- d-------- C:\Programme\ICQToolbar
2007-09-25 22:18 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
2007-09-25 16:55 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-25 16:08 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-09-08 09:31 --------- d-------- C:\Programme\ICQ6
2007-09-01 08:29 --------- d-------- C:\DOKUME~1\Nicole\ANWEND~1\OpenOffice.org2
2007-08-07 09:41 --------- d-------- C:\Programme\GeckoDesktop
2007-08-06 21:29 3479024 --a------ C:\WINDOWS\AubadeHomme.SCR
2007-08-06 21:29 --------- d-------- C:\DOKUME~1\Nicole\ANWEND~1\iScreensaver
2007-08-01 22:38 --------- d-------- C:\Programme\Anti-Leech
2007-08-01 22:36 --------- d-------- C:\Programme\ReGetDx
2007-08-01 22:36 --------- d-------- C:\Programme\Gemeinsame Dateien\ReGet Shared
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2001-11-23 06:08 712704 --a------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2001-03-28 13:02 122880 --a------ C:\WINDOWS\inf\Agfa\message.exe
2004-11-08 01:45:40 104 --sh--r C:\WINDOWS\system32\9801DD1117.sys
2004-11-08 18:04:52 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CorelDRAW Graphics Suite 11b"="C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe" [2003-11-28 01:56]
"FinePrint Dispatcher v5"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2004-01-12 13:39]
"mouseElf"="C:\PROGRA~1\SCROLL~1\GNETMOUS.EXE" [2004-02-24 07:30]
"MimBoot"="C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe" [2006-11-07 16:41]
"MMTray"="C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-11-07 16:41]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-05 21:35]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-14 10:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus COLOR 580"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.exe" [2000-04-26 03:05]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 13:39]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-09-28 11:04]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^EPSON Status Monitor 3 Environment Check.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check.lnk
backup=C:\WINDOWS\pss\EPSON Status Monitor 3 Environment Check.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Nicole^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=C:\Dokumente und Einstellungen\Nicole\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Quick TV Agent]
C:\Programme\Terminator\Quick TV\Scheduled.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"gusvc"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

R3 actser;actser;C:\WINDOWS\system32\drivers\actser.sys
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys
R3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\system32\DRIVERS\ati2mpaa.sys
S3 EL59X;3Com Fast EtherLink 59x Adapter Driver;C:\WINDOWS\system32\DRIVERS\el59x.sys
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
S3 rtl8029;NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter;C:\WINDOWS\system32\DRIVERS\RTL8029.SYS
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys
S3 TIAcxubt;D-Link WLAN USB Boot Device;C:\WINDOWS\system32\Drivers\tiacxubt.sys
S3 TIACXUSB;D-Link AirPlus DWL-120+ Wireless USB Adapter;C:\WINDOWS\system32\Drivers\tiacxusb.sys

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8E9F0AB-A90F-A0D3-C671-E00A6805FAA9}]
C:\WINDOWS\scvhost.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-08-31 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
"2007-09-27 10:57:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-28 14:15:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-28 14:16:22
C:\ComboFix2.txt ... 2007-09-28 12:14
.
--- E O F ---

besten dank!! ;)
Seitenanfang Seitenende
28.09.2007, 16:07
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Versuche
C:\!KillBox
C:\WINDOWS\scvhost.exe.bat
manual zu loeschen

benutze die Immunisier funktion von Spybot s&d

Tip:
Onlinescanner
Nod32
Bitdefender
F-secure
Housecall
eTrust
__________
MfG Argus
Seitenanfang Seitenende
28.09.2007, 16:37
...neu hier

Themenstarter

Beiträge: 5
#9 vielen dank an alle helfer! ich alleine hätte das nie hinbekommen! sagt jetzt aber nicht "gerne wieder", denn sowas möchte ich nicht wieder haben! ;)
wie kann ich jetzt überprüfen, ob nun alles wieder i.o. ist?
Seitenanfang Seitenende