Critical System Error, Virus Alert, Spyware

#1 Hallo. Also ich habe seit heute die Meldung, dass ich Spyware habe und man auf das Symbol klicken muss um es loszuwerden. Was ja totaler schwachsinn ist wie sicher jedem bekannt...Nunja wie soll ich es noch genauer beschreiben? unten in der Tastleiste hat es ein Symbol (Fragezeichen/kreuz abwechselnd) und manchmal kommt da noch ein Ausrufezeichen in nem Dreieck. Das ist nicht nur nervig sondern einfach sh**. Noch eine Meldung ist: System Alert: Trojan-Spy.Win32@mx

Hoffe ihr könnt mir da weiterhelfen.

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:38, on 02.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\ASF Agent\ASFAgent.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Online Video Add-on\icthis.exe
C:\Programme\Online Video Add-on\icmntr.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Winamp3\winampa.exe
D:\SONICM~1\SsAAD.exe
C:\Programme\QuickTime\QTTask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Common\Bin\WinCinemaMgr.exe
D:\HP\Digital Imaging\bin\hpqimzone.exe
D:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {D579A683-0CC7-4023-BAE7-0544D0D1DA3A} - C:\Programme\Online Video Add-on\isfmdl.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Programme\Online Video Add-on\ictmdl.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\SONICM~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "d:\f-secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [CloneCDTray] "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Online Video Add-on\icthis.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126297750937
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O22 - SharedTaskScheduler: ecosystems - {af3fd9a8-1287-4159-9212-9a5b4494af70} - (no file)
O22 - SharedTaskScheduler: hydria - {79cdca21-5055-4cae-b609-e1685ef55cf7} - C:\WINDOWS\system32\hymww.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Programme\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - d:\f-secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - d:\f-secure\BackWeb\7681197\Program\fsbwlan.exe (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown owner - d:\f-secure\Anti-Virus\fsgk32st.exe (file missing)
O23 - Service: F-Secure Network Request Broker - Unknown owner - d:\f-secure\Common\FNRB32.EXE (file missing)
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - d:\f-secure\Common\FSAA.EXE (file missing)
O23 - Service: F-Secure Management Agent (FSMA) - Unknown owner - d:\f-secure\Common\FSMA32.EXE (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 10975 bytes

Zitat

ComboFix 07-10-02.2 - Niklas 2007-10-02 17:59:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.361 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Niklas\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\HbTools_Icons
C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\HbTools_Icons\games2.ico
C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\HbTools_Icons\Jamster2.ico
C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\HbTools_Icons\wallpapere1.ico
C:\Programme\download plugin
C:\Programme\download plugin\DlPlugin-Moz\buddy.dat
C:\Programme\download plugin\DlPlugin-Moz\npdlplug.dll
C:\Programme\download plugin\DlPlugin-Moz\setup2.exe
C:\Programme\download plugin\DlPlugin-Moz\vendor.txt
C:\Programme\freevideo
C:\Programme\freevideo\Uninstall.exe
C:\Programme\internet explorer\msimg32.dll
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-02 bis 2007-10-02 ))))))))))))))))))))))))))))))
.

2007-10-02 17:57 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-02 17:16 66,048 --a------ C:\WINDOWS\ieResetIcons.exe
2007-10-02 16:38 <DIR> d-------- C:\Programme\Online Video Add-on
2007-09-21 20:34 37,376 --a------ C:\WINDOWS\system32\VbVfw.dll
2007-09-21 20:33 721,168 --a------ C:\WINDOWS\system32\VB40032.DLL
2007-09-21 20:33 60,416 --a------ C:\WINDOWS\ST4UNST.EXE
2007-09-09 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\Real

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-02 16:39 --------- d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-09-26 20:22 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-09 23:56 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-08-27 19:51 --------- d-------- C:\Dokumente und Einstellungen\nik\Anwendungsdaten\teamspeak2
2007-08-26 16:40 --------- d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\InstallShield
2007-08-25 21:39 --------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-08-25 19:37 --------- d-------- C:\Programme\PC Inspector Task Manager
2007-08-25 19:27 --------- d-------- C:\Programme\Gemeinsame Dateien\Corel
2007-08-25 19:23 --------- d-------- C:\Programme\ICQToolbar
2007-08-25 19:22 --------- d-------- C:\Programme\Google
2007-08-25 19:16 --------- d-------- C:\Programme\Apple Software Update
2007-08-22 16:25 --------- d-------- C:\Programme\iPod
2007-08-22 16:24 --------- d-------- C:\Programme\QuickTime
2007-08-14 19:18 --------- d-------- C:\Dokumente und Einstellungen\nik\Anwendungsdaten\MEGAUPLOADTOOLBAR
2007-08-13 19:43 359808 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2007-05-10 19:08:15 152 --sh--r C:\WINDOWS\system32\4F5F89FC80.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D579A683-0CC7-4023-BAE7-0544D0D1DA3A}]
C:\Programme\Online Video Add-on\isfmdl.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{41F6170D-6AF8-4188-8D92-9DDAB3C71A78}"= C:\Programme\Online Video Add-on\ictmdl.dll [2007-10-02 16:38 66560]

[HKEY_CLASSES_ROOT\CLSID\{41F6170D-6AF8-4188-8D92-9DDAB3C71A78}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2002-06-19 20:14]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-06-19 20:05]
"BackgroundSwitcher"="C:\WINDOWS\System32\bgswitch.exe" [2001-10-19 12:14]
"CoolSwitch"="C:\WINDOWS\System32\taskswitch.exe" [2001-10-19 12:14]
"FastUser"="C:\WINDOWS\System32\fast.exe" [2001-10-19 12:14]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 21:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"HP Software Update"="D:\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"WinampAgent"="d:\Programme\Winamp3\winampa.exe" [2002-08-13 07:32]
"SsAAD.exe"="D:\SONICM~1\SsAAD.exe" [2006-01-07 02:36]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-08-15 20:15]
"F-Secure Manager"="d:\f-secure\Common\FSM32.exe" []
"CloneCDTray"="D:\CloneCD\CloneCDTray.exe" [2006-09-28 21:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{79cdca21-5055-4cae-b609-e1685ef55cf7}"= C:\WINDOWS\system32\hymww.dll [2007-09-26 23:34 12800]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Symantec Fax Starter Edition-Anschluss.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk
backup=C:\WINDOWS\pss\Symantec Fax Starter Edition-Anschluss.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)

R2 ASFAgent;ASF Agent;C:\Programme\Intel\ASF Agent\ASFAgent.exe
R2 NetAlrt;NetAlrt;\??\C:\WINDOWS\System32\drivers\NetAlrt.sys
R2 PlatAlrt;PlatAlrt;\??\C:\WINDOWS\System32\drivers\PlatAlrt.sys
S2 BackWeb Client - 7681197;F-Secure BackWeb;d:\f-secure\BackWeb\7681197\Program\SERVIC~1.EXE
S2 F-Secure Filter;F-Secure File System Filter;\??\d:\f-secure\Anti-Virus\Win2K\FSfilter.sys
S2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\d:\f-secure\Anti-Virus\Win2K\FSgk.sys
S2 F-Secure Recognizer;F-Secure File System Recognizer;\??\d:\f-secure\Anti-Virus\Win2K\FSrec.sys
S2 FSpm;F-Secure Policy Manager;\??\d:\f-secure\Common\FSPM.SYS
S3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;C:\WINDOWS\system32\drivers\A302.sys
S3 FILEPRO;FILEPRO;\??\D:\1Gunzonline hack\FILEPRO.SYS
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\screamingbdriver.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 15:18:42 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-10-02 16:00:00 C:\WINDOWS\Tasks\B1ABE1A8915897B8.job"
"2007-10-02 14:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-02 18:06:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-02 18:08:40 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-02 18:08
.
--- E O F ---

Zitat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 44A7-E865

Verzeichnis von C:\WINDOWS\system32

02.10.2007 18:06 2'206 wpa.dbl
02.10.2007 17:16 230 spupdsvc.inf
30.09.2007 20:25 5'642 KGyGaAvL.sys
30.09.2007 11:18 267'008 FNTCACHE.DAT
27.09.2007 20:07 4'096 crash
26.09.2007 23:34 12'800 hymww.dll
09.09.2007 23:07 348'160 msvcr71.dll
09.09.2007 23:07 499'712 msvcp71.dll
06.09.2007 04:50 17'474'680 MRT.exe
29.08.2007 23:22 249'852 TZLog.log
13.08.2007 00:01 2'560 BitCometRes.dll
02.08.2007 19:39 5'214 jupdate-1.6.0_02-b06.log
30.07.2007 19:20 30'040 wuaucpl.cpl.mui
30.07.2007 19:20 30'040 wuapi.dll.mui
30.07.2007 19:19 1'712'984 wuaueng.dll
30.07.2007 19:19 549'720 wuapi.dll
30.07.2007 19:19 325'976 wucltui.dll
30.07.2007 19:19 203'096 wuweb.dll
30.07.2007 19:19 216'408 wuaucpl.cpl
30.07.2007 19:19 92'504 cdm.dll
30.07.2007 19:19 53'080 wuauclt.exe
30.07.2007 19:19 43'352 wups2.dll
30.07.2007 19:18 34'136 wucltui.dll.mui
30.07.2007 19:18 33'624 wups.dll
30.07.2007 19:18 20'824 wuaueng.dll.mui
22.07.2007 18:39 844'800 swreg.exe
18.07.2007 14:42 60'416 tzchange.exe
12.07.2007 02:22 139'264 javaws.exe
12.07.2007 02:22 69'632 javacpl.cpl
12.07.2007 01:22 135'168 javaw.exe
12.07.2007 01:22 135'168 java.exe
11.07.2007 21:43 47'104 KMVIDC32.DLL
11.07.2007 21:31 401'064 perfh009.dat
11.07.2007 21:31 62'344 perfc009.dat
11.07.2007 21:31 415'470 perfh007.dat
11.07.2007 21:31 74'996 perfc007.dat
11.07.2007 21:31 927'022 PerfStringBackup.INI
07.07.2007 23:28 34'308 BASSMOD.dll
29.06.2007 06:24 49'152 QuickTime.qts
29.06.2007 06:24 65'536 QuickTimeVR.qtx
27.06.2007 10:27 13'824 ieudinit.exe
26.06.2007 08:08 1'104'896 msxml3.dll
19.06.2007 15:31 282'112 gdi32.dll
11.06.2007 23:51 10'834'944 wmp.dll

MFG Sindbad

#2 Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)
Neu Starten
TeaTime Deaktiviert lassen bis die Reinigung vorbei ist

Entferne auf C: \Qoobox--->Papierkorb leeren

Download: Fixwareout zum Desktop
Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"
klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu zustarten (reboot), mach das bitte. Dein System wird länger dazu brauchen als sonst, das ist normal. Wenn dein Rechner wieder aufgestartet ist, folge den Hinweisen. Dann wird HijackThis starten.
Ein logfile wird sich oeffnen(report.txt)
Kopiere den Inhalt des Berichts “ report.txt ”in diesen Thread

O17 Note*
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden).

-> Start->Ausführen->schreib rein: ipconfig /flushdns (beachte das Leerzeichen hinter 'ipconfig'!)

EditUm F-secure zu entfernen benutze diesen tool http://support.f-secure.com/enu/corporate/downloads/removeav.shtml

Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen

Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen.
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

Wenn dein rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus
Kopiere den Inhalt des Berichts in diesen Thread (C:\ rapport.txt )


Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D579A683-0CC7-4023-BAE7-0544D0D1DA3A} - C:\Programme\Online Video Add-on\isfmdl.dll (file missing)
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Programme\Online Video Add-on\ictmdl.dll
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Online Video Add-on\icthis.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O22 - SharedTaskScheduler: ecosystems - {af3fd9a8-1287-4159-9212-9a5b4494af70} - (no file)
O22 - SharedTaskScheduler: hydria - {79cdca21-5055-4cae-b609-e1685ef55cf7} - C:\WINDOWS\system32\hymww.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst
__________
MfG Argus

#3 Folgende konte ich im Hijack This nicht finden.

Zitat

O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - (no file)
O2 - BHO: (no name) - {D579A683-0CC7-4023-BAE7-0544D0D1DA3A} - C:\Programme\Online Video Add-on\isfmdl.dll (file missing)
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Programme\Online Video Add-on\ictmdl.dll
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Online Video Add-on\icthis.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.101
O22 - SharedTaskScheduler: ecosystems - {af3fd9a8-1287-4159-9212-9a5b4494af70} - (no file)
O22 - SharedTaskScheduler: hydria - {79cdca21-5055-4cae-b609-e1685ef55cf7} - C:\WINDOWS\system32\hymww.dll

Raport.txt

Zitat

SmitFraudFix v2.235

Scan done at 14:58:02.81, 03.10.2007
Run from C:\Dokumente und Einstellungen\Niklas\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{79cdca21-5055-4cae-b609-e1685ef55cf7}"="hydria"

[HKEY_CLASSES_ROOT\CLSID\{79cdca21-5055-4cae-b609-e1685ef55cf7}\InProcServer32]
@="C:\WINDOWS\system32\hymww.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{79cdca21-5055-4cae-b609-e1685ef55cf7}\InProcServer32]
@="C:\WINDOWS\system32\hymww.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\hymww.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\hymww.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\main_uninstaller.exe Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\Niklas\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Niklas\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Niklas\Desktop\Spyware?Malware Protection.url Deleted
C:\DOKUME~1\Niklas\FAVORI~1\Online Security Test.url Deleted
C:\DOKUME~1\Niklas\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\Niklas\FAVORI~1\Privacy Protector.url Deleted
C:\Programme\Online Video Add-on\ Deleted
C:\Programme\VideoAccessCodec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{594052A3-0A13-48EC-98F5-5C5C26050BF8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{594052A3-0A13-48EC-98F5-5C5C26050BF8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{594052A3-0A13-48EC-98F5-5C5C26050BF8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#4 Poste nochmal ein log von Hijack This
__________
MfG Argus

#5 So hier die akzuellen Logs. hab direkt alle reingetan.

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:55, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\ASF Agent\ASFAgent.exe
D:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\system32\wscntfy.exe
D:\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Hijack This\hijackthis.exe

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSVPS System - {ECBD04D1-1133-4480-8A8C-BC9FDD54D6C1} - C:\WINDOWS\afxp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\SONICM~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126297750937
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: msvb - {960AEC84-69CC-4E64-AB9D-1FE82F44EE16} - C:\WINDOWS\msvb.dll
O21 - SSODL: sysdx - {B8629C3C-A756-4426-8BBD-49C9857B973F} - C:\WINDOWS\sysdx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Programme\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - d:\f-secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - d:\f-secure\Common\FSAA.EXE (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 8400 bytes

Fixwereout

Zitat

Username "Niklas" - 04.10.2007 16:13:52 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....


C:\Programme\Ultimate Defender < Found
Additional tools are recommended.

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"BackgroundSwitcher"="C:\\WINDOWS\\System32\\bgswitch.exe"
"CoolSwitch"="C:\\WINDOWS\\System32\\taskswitch.exe"
"FastUser"="C:\\WINDOWS\\System32\\fast.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_02\\bin\\jusched.exe\""
"HP Software Update"="D:\\HP\\HP Software Update\\HPWuSchd2.exe"
"WinampAgent"="\"d:\\Programme\\Winamp3\\winampa.exe\""
"SsAAD.exe"="D:\\SONICM~1\\SsAAD.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\QTTask.exe\" -atboottime"
"iTunesHelper"="\"D:\\Programme\\iTunes\\iTunesHelper.exe\""
"CloneCDTray"="\"D:\\CloneCD\\CloneCDTray.exe\" /s"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Smitfraudfix

Zitat

SmitFraudFix v2.235

Scan done at 16:32:31.92, 04.10.2007
Run from C:\Dokumente und Einstellungen\Niklas\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\Niklas\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Niklas\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Niklas\Desktop\Spyware?Malware Protection.url Deleted
C:\DOKUME~1\Niklas\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\Niklas\FAVORI~1\Privacy Protector.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{594052A3-0A13-48EC-98F5-5C5C26050BF8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{594052A3-0A13-48EC-98F5-5C5C26050BF8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{594052A3-0A13-48EC-98F5-5C5C26050BF8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#6 cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\afxp.dll
C:\WINDOWS\msvb.dll
C:\WINDOWS\sysdx.dll
2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Poste danach nochmal ein log von Hijack This
__________
MfG Argus

#7

Zitat

ComboFix 07-10-02.2 - Niklas 2007-10-05 15:10:24.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.450 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Niklas\Desktop\Spyware Virus Problem\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Niklas\Desktop\cfscript.txt

FILE::
C:\WINDOWS\afxp.dll
C:\WINDOWS\msvb.dll
C:\WINDOWS\sysdx.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Niklas\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Niklas\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Niklas\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Niklas\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Niklas\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Niklas\Favoriten\Spyware&Malware Protection.url
C:\Programme\Ultimate Defender
C:\WINDOWS\afxp.dll
C:\WINDOWS\dat.txt
C:\WINDOWS\msvb.dll
C:\WINDOWS\rs.txt
C:\WINDOWS\sysdx.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-05 bis 2007-10-05 ))))))))))))))))))))))))))))))
.

2007-10-03 20:42 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-03 20:42 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-03 20:42 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-03 20:42 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-03 20:42 25,088 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-03 14:58 3,054 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-02 19:40 <DIR> d-------- C:\Programme\SystemDefender
2007-10-02 19:33 79,872 --a------ C:\WINDOWS\netadv.dll
2007-10-02 18:36 <DIR> d-------- C:\Programme\Hijack This
2007-10-02 17:57 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-02 17:16 66,048 --a------ C:\WINDOWS\ieResetIcons.exe
2007-09-21 20:34 37,376 --a------ C:\WINDOWS\system32\VbVfw.dll
2007-09-21 20:33 721,168 --a------ C:\WINDOWS\system32\VB40032.DLL
2007-09-21 20:33 60,416 --a------ C:\WINDOWS\ST4UNST.EXE
2007-09-09 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\Real

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-03 20:28 --------- d-------- C:\Programme\MegauploadToolbar
2007-10-03 20:26 --------- d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\MegauploadToolbar
2007-10-02 16:39 --------- d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-09-26 20:22 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-09 23:56 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-08-27 19:51 --------- d-------- C:\Dokumente und Einstellungen\nik\Anwendungsdaten\teamspeak2
2007-08-26 16:40 --------- d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\InstallShield
2007-08-25 21:39 --------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-08-25 19:37 --------- d-------- C:\Programme\PC Inspector Task Manager
2007-08-25 19:27 --------- d-------- C:\Programme\Gemeinsame Dateien\Corel
2007-08-25 19:23 --------- d-------- C:\Programme\ICQToolbar
2007-08-25 19:22 --------- d-------- C:\Programme\Google
2007-08-25 19:16 --------- d-------- C:\Programme\Apple Software Update
2007-08-22 16:25 --------- d-------- C:\Programme\iPod
2007-08-22 16:24 --------- d-------- C:\Programme\QuickTime
2007-08-14 19:18 --------- d-------- C:\Dokumente und Einstellungen\nik\Anwendungsdaten\MEGAUPLOADTOOLBAR
2007-08-13 19:43 359808 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2005-05-11 23:36 12288 --a------ C:\WINDOWS\Fonts\RandFont.dll
2000-04-19 22:00 6995 --a--c--- C:\WINDOWS\inf\RAMDISK.SYS
2007-05-10 19:08:15 152 --sh--r C:\WINDOWS\system32\4F5F89FC80.sys
.

((((((((((((((((((((((((((((( snapshot@2007-10-03_20.41.16.29 )))))))))))))))))))))))))))))))))))))))))
.
--sha-w 5,642 2007-10-04 12:55:00 C:\WINDOWS\system32\KGyGaAvL.sys
.
--sha-w 5,642 2007-09-30 18:25:05 C:\WINDOWS\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2002-06-19 20:14]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-06-19 20:05]
"BackgroundSwitcher"="C:\WINDOWS\System32\bgswitch.exe" [2001-10-19 12:14]
"CoolSwitch"="C:\WINDOWS\System32\taskswitch.exe" [2001-10-19 12:14]
"FastUser"="C:\WINDOWS\System32\fast.exe" [2001-10-19 12:14]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 21:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"HP Software Update"="D:\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"WinampAgent"="d:\Programme\Winamp3\winampa.exe" [2002-08-13 07:32]
"SsAAD.exe"="D:\SONICM~1\SsAAD.exe" [2006-01-07 02:36]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-08-15 20:15]
"CloneCDTray"="D:\CloneCD\CloneCDTray.exe" [2006-09-28 21:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"msvb"= {960AEC84-69CC-4E64-AB9D-1FE82F44EE16} - C:\WINDOWS\msvb.dll [ ]
"sysdx"= {B8629C3C-A756-4426-8BBD-49C9857B973F} - C:\WINDOWS\sysdx.dll [ ]

R2 ASFAgent;ASF Agent;C:\Programme\Intel\ASF Agent\ASFAgent.exe
R2 NetAlrt;NetAlrt;\??\C:\WINDOWS\System32\drivers\NetAlrt.sys
R2 PlatAlrt;PlatAlrt;\??\C:\WINDOWS\System32\drivers\PlatAlrt.sys
S2 BackWeb Client - 7681197;F-Secure BackWeb;d:\f-secure\BackWeb\7681197\Program\SERVIC~1.EXE
S2 FSpm;F-Secure Policy Manager;\??\d:\f-secure\Common\FSPM.SYS
S3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;C:\WINDOWS\system32\drivers\A302.sys
S3 FILEPRO;FILEPRO;\??\D:\1Gunzonline hack\FILEPRO.SYS
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\screamingbdriver.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 15:18:42 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-10-05 13:00:00 C:\WINDOWS\Tasks\B1ABE1A8915897B8.job"
"2007-10-04 14:00:06 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-05 15:19:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-05 15:21:18 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-05 15:21
C:\ComboFix2.txt ... 2007-10-03 20:41
C:\ComboFix3.txt ... 2007-10-02 18:08
.
--- E O F ---

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22:40, on 05.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Winamp3\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\SONICM~1\SsAAD.exe
C:\Programme\Intel\ASF Agent\ASFAgent.exe
C:\Programme\QuickTime\QTTask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
D:\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\Fast.exe
D:\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\SONICM~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126297750937
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: msvb - {960AEC84-69CC-4E64-AB9D-1FE82F44EE16} - C:\WINDOWS\msvb.dll (file missing)
O21 - SSODL: sysdx - {B8629C3C-A756-4426-8BBD-49C9857B973F} - C:\WINDOWS\sysdx.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Programme\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - d:\f-secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - d:\f-secure\Common\FSAA.EXE (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8696 bytes

#8 Entferne auf C:\ Qoobox-->Papierkorb leeren
Entferne auf C:\WINDOWS\Tasks\B1ABE1A8915897B8.job

Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\netadv.dll

Folders to delete:
C:\Programme\SystemDefender

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen


Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O21 - SSODL: msvb - {960AEC84-69CC-4E64-AB9D-1FE82F44EE16} - C:\WINDOWS\msvb.dll (file missing)
O21 - SSODL: sysdx - {B8629C3C-A756-4426-8BBD-49C9857B973F} - C:\WINDOWS\sysdx.dll (file missing)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne ComboFix von dein Desktop

Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !
zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#9

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mmqcvbvj

*******************

Script file located at: \??\C:\yahfhpus.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\netadv.dll deleted successfully.
Folder C:\Programme\SystemDefender deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:10:19, on 06.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Winamp3\winampa.exe
D:\SONICM~1\SsAAD.exe
C:\Programme\QuickTime\QTTask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
D:\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\ASF Agent\ASFAgent.exe
D:\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Hijack This\hijackthis.exe

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\SONICM~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - D:\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126297750937
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Programme\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - d:\f-secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - d:\f-secure\Common\FSAA.EXE (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 8182 bytes

Zitat

ComboFix 07-10-06.3 - Niklas 2007-10-06 12:03:18.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.444 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Niklas\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\MSN Messenger\msimg32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-06 bis 2007-10-06 ))))))))))))))))))))))))))))))
.

2007-10-03 20:42 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-03 20:42 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-03 20:42 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-03 20:42 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-03 20:42 25,088 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-03 14:58 3,054 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-02 18:36 <DIR> d-------- C:\Programme\Hijack This
2007-10-02 17:57 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-02 17:16 66,048 --a------ C:\WINDOWS\ieResetIcons.exe
2007-09-21 20:34 37,376 --a------ C:\WINDOWS\system32\VbVfw.dll
2007-09-21 20:33 721,168 --a------ C:\WINDOWS\system32\VB40032.DLL
2007-09-21 20:33 60,416 --a------ C:\WINDOWS\ST4UNST.EXE
2007-09-09 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\Real

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-06 12:05 --------- d-------- C:\Programme\MSN Messenger
2007-10-05 20:48 5642 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-10-03 20:28 --------- d-------- C:\Programme\MegauploadToolbar
2007-10-03 20:26 --------- d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\MegauploadToolbar
2007-10-02 16:39 --------- d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-09-26 20:22 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-09 23:56 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-09-09 23:07 499712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-09-09 23:07 348160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-08-27 19:51 --------- d-------- C:\Dokumente und Einstellungen\nik\Anwendungsdaten\teamspeak2
2007-08-26 16:40 --------- d-------- C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\InstallShield
2007-08-25 21:39 --------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-08-25 19:37 --------- d-------- C:\Programme\PC Inspector Task Manager
2007-08-25 19:27 --------- d-------- C:\Programme\Gemeinsame Dateien\Corel
2007-08-25 19:23 --------- d-------- C:\Programme\ICQToolbar
2007-08-25 19:22 --------- d-------- C:\Programme\Google
2007-08-25 19:16 --------- d-------- C:\Programme\Apple Software Update
2007-08-22 16:25 --------- d-------- C:\Programme\iPod
2007-08-22 16:24 --------- d-------- C:\Programme\QuickTime
2007-08-14 19:18 --------- d-------- C:\Dokumente und Einstellungen\nik\Anwendungsdaten\MEGAUPLOADTOOLBAR
2007-08-13 19:43 359808 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-11 21:43 47104 --a------ C:\WINDOWS\system32\KMVIDC32.DLL
2005-05-11 23:36 12288 --a------ C:\WINDOWS\Fonts\RandFont.dll
2000-04-19 22:00 6995 --a--c--- C:\WINDOWS\inf\RAMDISK.SYS
2007-05-10 19:08:15 152 --sh--r C:\WINDOWS\system32\4F5F89FC80.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2002-06-19 20:14]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-06-19 20:05]
"BackgroundSwitcher"="C:\WINDOWS\System32\bgswitch.exe" [2001-10-19 12:14]
"CoolSwitch"="C:\WINDOWS\System32\taskswitch.exe" [2001-10-19 12:14]
"FastUser"="C:\WINDOWS\System32\fast.exe" [2001-10-19 12:14]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 21:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"HP Software Update"="D:\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"WinampAgent"="d:\Programme\Winamp3\winampa.exe" [2002-08-13 07:32]
"SsAAD.exe"="D:\SONICM~1\SsAAD.exe" [2006-01-07 02:36]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-08-15 20:15]
"CloneCDTray"="D:\CloneCD\CloneCDTray.exe" [2006-09-28 21:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

R2 ASFAgent;ASF Agent;C:\Programme\Intel\ASF Agent\ASFAgent.exe
R2 NetAlrt;NetAlrt;\??\C:\WINDOWS\System32\drivers\NetAlrt.sys
R2 PlatAlrt;PlatAlrt;\??\C:\WINDOWS\System32\drivers\PlatAlrt.sys
S2 BackWeb Client - 7681197;F-Secure BackWeb;d:\f-secure\BackWeb\7681197\Program\SERVIC~1.EXE
S2 FSpm;F-Secure Policy Manager;\??\d:\f-secure\Common\FSPM.SYS
S3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;C:\WINDOWS\system32\drivers\A302.sys
S3 FILEPRO;FILEPRO;\??\D:\1Gunzonline hack\FILEPRO.SYS
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\screamingbdriver.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-10-05 15:17:48 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
"2007-10-06 10:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-06 12:07:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-06 12:09:33 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-06 12:09
C:\ComboFix2.txt ... 2007-10-05 15:21
C:\ComboFix3.txt ... 2007-10-03 20:41
.
--- E O F ---

#10 Entferne auf C: \Qoobox--->Papierkorb leeren
Entferne auf C:\avenger\ backup.zip --->Papierkorb leeren

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Scanne mit DrWeb-CureIt!
http://board.protecus.de/t29350.htm
__________
MfG Argus

#11

Zitat

Process.exe;C:\Dokumente und Einstellungen\Niklas\Desktop\SmitfraudFix;Tool.Prockill;Verschoben.;
restart.exe;C:\Dokumente und Einstellungen\Niklas\Desktop\SmitfraudFix;Tool.ShutDown.11;Verschoben.;
Process.exe;C:\Dokumente und Einstellungen\Niklas\Desktop\Spyware Virus Problem\SmitfraudFix;Tool.Prockill;Verschoben.;
restart.exe;C:\Dokumente und Einstellungen\Niklas\Desktop\Spyware Virus Problem\SmitfraudFix;Tool.ShutDown.11;Verschoben.;
NPMyWebS.dll;C:\Programme\Mozilla Firefox\plugins;Adware.Msearch;Verschoben.;
Process.exe;C:\Programme\Mozilla Firefox\SmitfraudFix;Tool.Prockill;Verschoben.;
restart.exe;C:\Programme\Mozilla Firefox\SmitfraudFix;Tool.ShutDown.11;Verschoben.;
riched20.dll;C:\Programme\MSN Messenger;Adware.Msearch;Verschoben.;
A0057620.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP421;Trojan.Popuper;Gelöscht.;
A0057949.scr;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP423;Adware.Msearch;Verschoben.;
A0058078.reg;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP423;Trojan.StartPage.1505;Gelöscht.;
A0058159.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP423;Tool.Prockill;Verschoben.;
A0058294.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP424;Tool.Prockill;Verschoben.;
A0058296.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP424;Tool.ShutDown.11;Verschoben.;
A0058874.dll;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Adware.Dplugin;Verschoben.;
A0058896.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Tool.Prockill;Verschoben.;
A0058897.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Tool.ShutDown.11;Verschoben.;
A0058898.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Tool.Prockill;Verschoben.;
A0058899.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Tool.ShutDown.11;Verschoben.;
A0058900.dll;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Adware.Msearch;Verschoben.;
A0058901.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Tool.Prockill;Verschoben.;
A0058902.exe;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Tool.ShutDown.11;Verschoben.;
A0058903.dll;C:\System Volume Information\_restore{08523692-31EA-49F4-B802-DBB11002201B}\RP427;Adware.Msearch;Verschoben.;
Process.exe;C:\WINDOWS\system32;Tool.Prockill;Verschoben.;