PC sendet über Service.exe Spamm! Es wird nichts gefunden

Thema ist geschlossen!
Thema ist geschlossen!
#0
08.10.2007, 21:43
...neu hier

Beiträge: 6
#1 Problem: Bin Spam Mail versender!
Bisher getan: Gesucht mit (immer Up to date) Antivir, ad-aware, Spybot, Zonealarm, kaspersky Kav 7.0, Hijackthis und Gmer!

Sie finden alle nichts! Bis auf Kaspersky der mir meldet das service.exe massmails versendet! Aber nichts findet beim Scannen!!

Gmer findet auch nichts, da er jedesmal während des suches unter Rootkitt den PC ohne Vorwarnung neu startet!! (naja, Gmer oder der Trojaner)

Ich will wissen was das ist! Ich bin mit meiner weissheit am Ende!!

Ich habe hier einen Artikel gefunden wo es um rootkitts ging! Denke ich habe o einen drauf!

ICH HOFFE HIER AUF HILFE!!!

Gmer kann ich nicht geben, da mein Pc während des scannen neu startet!
Keine Chance shutdown -a einzugeben
Hijack wie folgt:

Logfile of HijackThis v1.99.1
Scan saved at 09:57:23, on 08.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\cisvc.exe
c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\totalcmd\TOTALCMD.EXE
c:\Programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Mhvvut] "C:\Dokumente und Einstellungen\Schmuddel\Eigene Dateien\s?mbols\r?ndll32.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Telefon- und Branchenbuch Sommer 2007 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190053331640
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3985F6A7-A716-4C65-B356-85DD8D2CD789}: NameServer = 217.237.149.142 217.237.150.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C4A96A8-D25A-40EA-BACE-7B390E3D3DC3}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8D0406E-8217-4D67-89B7-A3C0E6B5CFD3}: NameServer = 127.0.0.1,10.0.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11E0511-5CC9-4875-829A-B90AB5F4D43A}: NameServer = 127.0.0.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: twdns - Unknown owner - C:\WINDOWS\system32\dns\bin\named.exe

Datfind:

Verzeichnis von C:\WINDOWS\system32

2007-10-07 17:59 269,392 FNTCACHE.DAT
2007-10-06 22:34 5,293 jupdate-1.6.0_02-b06.log
2007-10-06 16:36 5,686 jupdate-1.6.0_03-b05.log
2007-10-06 09:06 15,086 FreePokerBonus.ico
2007-10-05 10:07 279,552 swreg.exe
2007-10-01 03:26 4,212 zllictbl.dat
2007-09-30 08:30 2,228 wpa.dbl
2007-09-25 22:59 3,638 Interpoker.ico
2007-09-25 14:25 55,030 xpdx.sys
2007-09-25 01:30 694,432 xtypqgjk.ini
2007-09-24 23:31 69,632 javacpl.cpl
2007-09-24 23:31 139,264 javaws.exe
2007-09-24 23:23 694,366 jblvvnwv.ini
2007-09-24 22:30 135,168 javaw.exe
2007-09-24 22:30 135,168 java.exe
2007-09-24 18:53 694,201 hehaycwh.ini
2007-09-24 16:18 694,012 xfrjkowv.ini
2007-09-24 16:14 693,892 ygwedffv.ini
2007-09-24 15:14 693,781 tuoghary.ini
2007-09-24 14:36 693,661 rwkrsbvu.ini
2007-09-24 10:55 693,509 ybbvique.ini
2007-09-23 21:38 693,601 ukxpkyon.ini
2007-09-23 19:59 693,472 qjsimsta.ini
2007-09-23 13:07 694,802 bnxbnnlt.ini
2007-09-22 14:52 61,092 perfc009.dat
2007-09-22 14:52 397,818 perfh009.dat
2007-09-22 14:52 412,516 perfh007.dat
2007-09-22 14:52 73,734 perfc007.dat
2007-09-22 14:52 956,572 PerfStringBackup.INI
2007-09-21 21:51 143 mcrh.tmp
2007-09-21 21:41 694,064 jmemsuhk.ini
2007-09-21 19:49 693,953 teewcjso.ini
2007-09-21 17:00 693,833 cqsvhtcf.ini
2007-09-21 12:24 693,713 mivfsods.ini
2007-09-20 21:38 693,584 bfqdlogo.ini
2007-09-20 20:38 1,108 KGyGaAvL.sys
2007-09-20 10:06 10,752 BASSMOD.dll
2007-09-19 13:48 8,084 iklog.log
2007-09-17 16:54 16,832 amcompat.tlb
2007-09-17 16:54 23,392 nscompat.tlb
2007-09-02 16:16 34,308 Chip.dll
2007-08-31 10:06 176,167 rmoc3260.dll
2007-08-31 10:06 5,632 pndx5032.dll
2007-08-31 10:06 6,656 pndx5016.dll
2007-08-31 10:05 278,528 pncrt.dll
2007-08-13 21:20 4,096 crash
2007-08-10 21:56 93,128 ElbyCDIO.dll
2007-08-09 12:13 63,228 nvapps.xml
2007-07-30 19:19 203,096 wuweb.dll
2007-07-20 00:57 267,112 xactengine2_9.dll
2007-07-20 00:54 18,280 x3daudio1_2.dll
2007-07-19 18:14 444,776 d3dx10_35.dll
2007-07-19 18:14 1,358,192 D3DCompiler_35.dll
2007-07-19 18:14 3,727,720 d3dx9_35.dll
2007-07-05 18:34 1,024 pwdremover.dat
Dieser Beitrag wurde am 08.10.2007 um 22:21 Uhr von Chagall1985 editiert.
Seitenanfang Seitenende
08.10.2007, 21:54
Moderator

Beiträge: 7805
#2 Arbeite das mal ab:

http://board.protecus.de/t23188.htm

Denke an Datensicherung!!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.10.2007, 22:14
...neu hier

Themenstarter

Beiträge: 6
#3 Ich bin gerade dabei!
Combofix und Gmer starten beim scannen den PC neu! Das steht zwar auch in der Anleitung bei Comofix, aber ich sollte auch nach dem Neustart etwas zum Posten haben! Da is aber nichts!!

mache ich was falsch oder ist das mein Freund der scannen verhindert!!??
Dieser Beitrag wurde am 08.10.2007 um 22:32 Uhr von Chagall1985 editiert.
Seitenanfang Seitenende
08.10.2007, 22:39
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
08.10.2007, 22:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Prüfe mal diese Datei(en) bei

C:\WINDOWS\system32\xpdx.sys

VirusTotal
__________
MfG Argus
Seitenanfang Seitenende
08.10.2007, 23:27
...neu hier

Themenstarter

Beiträge: 6
#6 Also bei mir hat sich nur der PC neugestartet! Da kam kein LOG!
In C:Combofix finde ich auch keine TXT datei!
Ich mache das gleich nochmal!
Hier der Scann für xpdx.sys

Datei xpdx.sys empfangen 2007.10.08 23:21:04 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.9.0 2007.10.08 -
AntiVir 7.6.0.20 2007.10.08 -
Authentium 4.93.8 2007.10.08 -
Avast 4.7.1051.0 2007.10.08 -
AVG 7.5.0.488 2007.10.08 -
BitDefender 7.2 2007.10.08 -
CAT-QuickHeal 9.00 2007.10.08 -
ClamAV 0.91.2 2007.10.08 -
DrWeb 4.44.0.09170 2007.10.08 -
eSafe 7.0.15.0 2007.10.08 -
eTrust-Vet 31.2.5190 2007.10.06 -
Ewido 4.0 2007.10.08 -
FileAdvisor 1 2007.10.08 -
Fortinet 3.11.0.0 2007.10.08 -
F-Prot 4.3.2.48 2007.10.08 -
F-Secure 6.70.13030.0 2007.10.08 -
Ikarus T3.1.1.12 2007.10.08 -
Kaspersky 7.0.0.125 2007.10.08 -
McAfee 5136 2007.10.08 -
Microsoft 1.2908 2007.10.08 -
NOD32v2 2578 2007.10.08 -
Norman 5.80.02 2007.10.08 -
Panda 9.0.0.4 2007.10.08 -
Prevx1 V2 2007.10.08 -
Rising 19.44.02.00 2007.10.08 -
Sophos 4.22.0 2007.10.08 -
Sunbelt 2.2.907.0 2007.10.06 -
Symantec 10 2007.10.08 -
TheHacker 6.2.6.079 2007.10.07 -
VBA32 3.12.2.4 2007.10.08 -
VirusBuster 4.3.26:9 2007.10.08 -
Webwasher-Gateway 6.0.1 2007.10.08 -
weitere Informationen
File size: 55030 bytes
MD5: fb4b31879d71adf351a5a28b0139c7b2
SHA1: d3e1c52975e4798d6c8518b29953cfef98b8b694

EDIT:

So hat geklappt hier combofix

ComboFix 07-10-07.2 - Schmuddel 2007-10-08 23:31:16.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.580 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Schmuddel\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\xpdx.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_XPDX


((((((((((((((((((((((( Dateien erstellt von 2007-09-08 bis 2007-10-08 ))))))))))))))))))))))))))))))
.

2007-10-08 21:50 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-08 10:28 <DIR> d-------- C:\systeminfo Kaspersky
2007-10-07 14:54 <DIR> d-------- C:\Programme\InterVideo
2007-10-07 00:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-10-07 00:45 <DIR> d-------- C:\Programme\Security Task Manager
2007-10-06 04:05 91,424 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-06 03:51 <DIR> d-------- C:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP
2007-10-06 03:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-10-04 14:28 <DIR> d-------- C:\Bianca Gesamt
2007-10-02 01:13 <DIR> d-------- C:\Programme\hijack
2007-10-01 03:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-10-01 03:22 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-09-30 22:40 <DIR> d-------- C:\Programme\SmartDraw 2008
2007-09-25 17:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-09-25 17:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-09-25 17:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-09-25 17:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-09-25 17:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-09-25 17:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-09-25 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-09-24 11:27 <DIR> d-------- C:\Programme\totalcmd
2007-09-20 22:27 <DIR> d-------- C:\aaaa
2007-09-20 22:26 <DIR> d-------- C:\Programme\Winamp
2007-09-20 10:04 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2007-09-20 10:04 47,360 --a------ C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\pcouffin.sys
2007-09-20 10:04 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2007-09-20 10:04 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2007-09-20 10:04 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2007-09-20 10:04 <DIR> d-------- C:\Programme\VSO
2007-09-20 10:04 <DIR> d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\Vso
2007-09-20 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\COWON
2007-09-20 00:30 <DIR> d-------- C:\Programme\MediaMonkey
2007-09-19 14:24 <DIR> d-------- C:\Programme\Lavasoft
2007-09-19 14:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-09-19 14:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-19 11:31 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-09-18 09:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-09-18 09:23 <DIR> d-------- C:\Programme\vgryverc
2007-09-18 08:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\ATI
2007-09-18 08:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\ATI
2007-09-17 18:35 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-09-17 16:41 549,376 -----c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-09-17 16:12 <DIR> d-------- C:\XPpostSP2update

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-08 23:34 170096 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-08 23:34 14336032 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-08 23:34 10640 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-08 22:36 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-10-07 18:35 --------- d-------- C:\Programme\eMule
2007-10-06 23:31 --------- d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\DVD Shrink 3.0
2007-10-06 11:49 --------- d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\AdobeUM
2007-10-06 04:02 82061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-10-06 04:02 81549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-10-06 03:51 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-06 03:40 --------- d-------- C:\Programme\Kaspersky Lab
2007-10-06 03:34 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2007-10-06 02:59 --------- d-------- C:\Programme\Opera
2007-09-21 12:38 --------- d-------- C:\Programme\Total Video Converter
2007-09-17 18:01 356 --a------ C:\drmHeader.bin
2007-09-06 16:27 --------- d-------- C:\Programme\PacificPoker
2007-09-02 16:54 --------- d-------- C:\Programme\Gemeinsame Dateien\InterVideo
2007-09-02 16:16 34308 --a------ C:\WINDOWS\system32\Chip.dll
2007-09-01 22:00 --------- d-------- C:\Programme\DVD Shrink
2007-09-01 15:54 --------- d-------- C:\Programme\Xvid
2007-08-31 19:58 --------- d-------- C:\Programme\PowerQuest
2007-08-31 10:16 --------- d-------- C:\Programme\QuickTime
2007-08-31 10:16 --------- d-------- C:\Programme\Apple Software Update
2007-08-31 10:16 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-08-31 10:16 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-08-30 19:44 --------- d-------- C:\Programme\Windows Media Connect 2
2007-08-24 19:23 --------- d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\klickTel
2007-08-24 17:00 --------- d-------- C:\Programme\Muiltmedia keyboard Utility
2007-08-23 23:03 --------- d-------- C:\Programme\klickTel
2007-08-22 21:11 --------- d-------- C:\Programme\Google
2007-08-17 19:47 --------- d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\InstallShield
2007-08-11 21:48 --------- d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\My Games
2007-08-11 21:32 --------- d-------- C:\Programme\Firaxis Games
2007-08-11 17:34 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2007-08-10 21:56 93128 --a------ C:\WINDOWS\system32\ElbyCDIO.dll
2007-08-09 13:27 --------- d-------- C:\Dokumente und Einstellungen\Schmuddel\Anwendungsdaten\ATI
2007-08-09 13:18 --------- d-------- C:\Programme\ATI Technologies
2007-08-09 13:10 --------- d-------- C:\Programme\Gemeinsame Dateien\ATI Technologies
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-20 00:57 267112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2007-07-20 00:54 18280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-07-19 18:14 444776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-07-19 18:14 3727720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-07-19 18:14 1358192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 09:54 C:\WINDOWS\SOUNDMAN.EXE]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 17:22]
"nwiz"="nwiz.exe" []
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"LFAgent"="" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-06-01 17:22]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 17:34]
"FLMK08KB"="C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe" [2007-08-24 17:00]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-31 10:05]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-20 13:04]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-12-16 13:57]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-09-03 15:42]
"Mhvvut"="C:\Dokumente und Einstellungen\Schmuddel\Eigene Dateien\s?mbols\r?ndll32.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Schmuddel^Startmenü^Programme^Autostart^klickTel Frühjahr 2006 - Schnellstarter.lnk]
path=C:\Dokumente und Einstellungen\Schmuddel\Startmenü\Programme\Autostart\klickTel Frühjahr 2006 - Schnellstarter.lnk
backup=C:\WINDOWS\pss\klickTel Frühjahr 2006 - Schnellstarter.lnkStartup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
"C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveMonitor]
C:\Programme\MSI\Live Update 3\LMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MimBoot]
C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1

R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R2 LF30FS;LF30FS;\??\C:\Programme\Everstrike Software\Lock Folder XP 3.5\LF30XP.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0362395d-a5a1-11da-a400-806d6172696f}]
open\command- C:\Programme\Total Video Converter\tvp.exe -dvd %1

.
Inhalt des "geplante Tasks" Ordners
"2007-09-11 06:49:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-08 23:36:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-08 23:42:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-08 23:38
Dieser Beitrag wurde am 08.10.2007 um 23:46 Uhr von Chagall1985 editiert.
Seitenanfang Seitenende
08.10.2007, 23:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Entferne auf C: \Qoobox--->Papierkorb leeren

Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\xtypqgjk.ini
C:\WINDOWS\system32\jblvvnwv.ini
C:\WINDOWS\system32\hehaycwh.ini
C:\WINDOWS\system32\xfrjkowv.ini
C:\WINDOWS\system32\ygwedffv.ini
C:\WINDOWS\system32\tuoghary.ini
C:\WINDOWS\system32\rwkrsbvu.ini
C:\WINDOWS\system32\ybbvique.ini
C:\WINDOWS\system32\ukxpkyon.ini
C:\WINDOWS\system32\qjsimsta.ini
C:\WINDOWS\system32\bnxbnnlt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\jmemsuhk.ini
C:\WINDOWS\system32\teewcjso.ini
C:\WINDOWS\system32\cqsvhtcf.ini
C:\WINDOWS\system32\mivfsods.ini
C:\WINDOWS\system32\bfqdlogo.ini
C:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
09.10.2007, 00:30
...neu hier

Themenstarter

Beiträge: 6
#8 Vielen Dank erstmal für die spähte Hilfe!!!!!!!!

Ich habe gerade mit Kaspersky die kritischen bereiche Untersucht!
Zum ersten mal findet er nichts!!!! Thanks

Bei Avebger wurde mir angesagt das die Logfile nach dem neustart nicht gefunden wurde!
Ich wurde gefragt ob ich eine neue erstellen möchte! Ich: Ja! Dann: Leere Seite

Was ist das auf meinem PC den nun????

Hier Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 00:26:22, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\hijack\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Mhvvut] "C:\Dokumente und Einstellungen\Schmuddel\Eigene Dateien\s?mbols\r?ndll32.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Telefon- und Branchenbuch Sommer 2007 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190053331640
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C4A96A8-D25A-40EA-BACE-7B390E3D3DC3}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8D0406E-8217-4D67-89B7-A3C0E6B5CFD3}: NameServer = 127.0.0.1,10.0.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11E0511-5CC9-4875-829A-B90AB5F4D43A}: NameServer = 127.0.0.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: twdns - Unknown owner - C:\WINDOWS\system32\dns\bin\named.exe
Dieser Beitrag wurde am 09.10.2007 um 00:40 Uhr von Chagall1985 editiert.
Seitenanfang Seitenende
09.10.2007, 00:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKCU\..\Run: [Mhvvut] "C:\Dokumente und Einstellungen\Schmuddel\Eigene Dateien\s?mbols\r?ndll32.exe"

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download
CleanUp
Wenn man CleanUp weiter benutzen willst das haeckchen bei Delete Prefetch files entfernen!
http://www.virus-protect.org/cleanup.html

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
__________
MfG Argus
Seitenanfang Seitenende
09.10.2007, 01:14
...neu hier

Themenstarter

Beiträge: 6
#10 OK! Gemacht!!

Download von AVG läuft!

Soll Ich Dir noch was posten oder meinst Du das wars???

Und was war das nun??? Lass mich bitte nicht DOOF sterben!!
Seitenanfang Seitenende
09.10.2007, 01:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 http://www.bleepingcomputer.com/startups/xpdx.sys-18517.html

Es gibt im ComboFix.log ein anzahl von Daten wo nur du Antwort auf geben kannst
z.b C:\Programme\vgryverc und C:\aaaa

Nachdem AVG noch was findet und entfernt hat muss noch eine

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
durchgefuert werden

Gute Nacht
__________
MfG Argus
Seitenanfang Seitenende
09.10.2007, 01:49
...neu hier

Themenstarter

Beiträge: 6
#12 Also C/aaaa ist in Ordnung

das andere kenne ich nicht!

Habe ich gelöscht!

Was sagstdu zu C/Programme/Apple Software update???

Ich wüsste nicht welches Programm bei mir von Apple ist!

AVG hat bislang ca 80% durch und adware Cydoor gefunden!!!!

Gerade den Link gelesen!! Also hatte ich einen Rootkit Troaner drauf!!

Dann werde Ich jetzt mal meine Lobesrede halten!
Ich bin seit einer Woche hinter diesem Mistkerl her! Nichts hat Ihn gefunden!
Ich war im Trojaner-Board die mir gesagt haben ich habe Lovegate drauf!
Obwohl ich am Anfang sagte, das ich kein System aufsetzen kann war das Ihr einziger Tipp. Neben beschimpfungen das Ich für Spamm veranwortlich bin da ich die paar euro für ein neues XP nicht ausgeben will.
Ich bin jetzt echt Seelig! Gerade weil ich morgen meine Rotz Telekom DSL-light Verbinung gegen Kabel Deluxe mit 26000kbit tausche!
Beim dem Upload währe eine Spammtrojaner echt ein Albtraum!!!

Du hast Dir eine angenehme Nachtruhe verdient!! Und wenn es nicht gegen Boardregeln verstösst schicke ich dir gerne eine Kleinigkeit zu! (Adresse vorausgesetzt! Vielleicht nen guten Wein oder ne DVD!

Es ist echt geil solch einen Service im Internet nur aus Nettigkeit und Hilfsbereitschaft zu bekommen!!!

So nun werd nicht rot! ich bin fertig!!!

So alles erledigt!! Hoffen wir das beste! Danke Dir!!!
Dieser Beitrag wurde am 09.10.2007 um 02:30 Uhr von Chagall1985 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: