VBS/Click.A bin mir nicht ganz sicher

#0
15.12.2007, 20:14
...neu hier

Beiträge: 5
#1 Hallo hab folgende Probleme mit meinem Pc. Der Windows Security Alert schaltet sich die ganze Zeit an und bekomme die ganze Zeit komische Fenster, die aber durch den ComboFix weg sind. Am besten Poste ich mal die Log. ;)

HJT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:44, on 15.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\VM301Snap.exe
C:\WINDOWS\Domino.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Internet_2\Eigene Dateien\Downloads\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/icq5/0/unregister.html
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: BDEX System - {A8565FBC-8D53-4D4F-9BB0-CBC68A22B126} - C:\WINDOWS\blopenvxdt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM301Snap.exe Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {34635AA6-B593-4F06-9EDD-5FF60FC13310} (Speaky Chat) - http://download.speakyweb.com/speakyldr.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {58EF1388-AF07-4D13-A069-D107671B8819} - http://www.gamegarden.net/game/ggsecure.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189830328109
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://75.126.208.167/talk.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EB745DC-0F75-48A7-AF81-FE2F685A7791}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{6EB745DC-0F75-48A7-AF81-FE2F685A7791}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: nopzet - {4E3BD6C5-E5B9-4E6A-87A4-54CB036C969D} - C:\WINDOWS\nopzet.dll
O21 - SSODL: leorop - {E73470E8-1F93-445A-8907-FAB452ABF19E} - C:\WINDOWS\leorop.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

--
End of file - 6461 bytes

ComboFix:

ComboFix 07-12-15.5 - Internet_2 2007-12-15 19:59:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.292 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Internet_2\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Internet_2\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Internet_2\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Internet_2\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\dat.txt
C:\WINDOWS\search_res.txt

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-15 bis 2007-12-15 ))))))))))))))))))))))))))))))
.

2007-12-15 19:06 . 2007-12-15 19:06 <DIR> d-------- C:\Dokumente und Einstellungen\Internet_2\DoctorWeb
2007-12-15 17:11 . 2007-12-15 17:11 <DIR> d-------- C:\Programme\Lavasoft
2007-12-15 02:26 . 2007-12-14 18:57 286,720 --a------ C:\WINDOWS\blopenvxdt.dll
2007-12-15 02:26 . 2007-12-14 18:57 249,856 --a------ C:\WINDOWS\leorop.dll
2007-12-15 02:26 . 2007-12-14 18:57 229,376 --a------ C:\WINDOWS\nopzet.dll
2007-12-15 02:26 . 2007-12-14 18:57 172,032 --a------ C:\WINDOWS\retnsrp.dll
2007-12-15 02:25 . 2007-12-15 04:49 <DIR> d-------- C:\Programme\SmartVideoCodec
2007-12-15 02:20 . 2004-07-09 08:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-12-15 02:04 . 2005-09-01 11:03 127,488 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2007-12-15 02:04 . 2005-09-01 11:03 5,888 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2007-12-15 02:03 . 2007-12-15 02:03 <DIR> d-------- C:\Programme\Ahead
2007-12-15 02:03 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-12-15 02:03 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-12-15 02:03 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-12-15 02:03 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-12-15 02:03 . 2006-01-12 15:40 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-12-15 02:03 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-12-15 01:33 . 2007-12-15 01:33 <DIR> d-------- C:\Programme\PowerISO
2007-12-12 20:43 . 2007-12-12 20:43 <DIR> d-------- C:\Programme\Avira
2007-12-12 20:43 . 2007-12-12 20:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-12 15:49 . 2007-12-12 15:49 <DIR> d-------- C:\Programme\BitTorrent
2007-12-12 15:49 . 2007-12-15 15:12 <DIR> d-------- C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\BitTorrent
2007-12-11 20:46 . 2007-12-11 20:46 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 20:46 . 2007-12-11 20:46 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-12-11 20:46 . 2007-12-11 20:46 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2007-12-11 20:46 . 2007-12-11 20:46 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2007-12-11 20:45 . 2007-12-11 20:45 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 20:45 . 2007-12-11 20:45 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 20:43 . 2007-12-11 20:43 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-11 20:43 . 2007-12-11 20:43 8,523 --a------ C:\WINDOWS\system32\dpude.qm
2007-12-11 20:43 . 2007-12-11 20:43 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2007-12-08 02:05 . 2007-12-08 02:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-12-07 00:31 . 2007-12-07 00:31 100 --a------ C:\WINDOWS\start.reg
2007-12-07 00:30 . 2007-12-07 00:30 <DIR> d-------- C:\Programme\PowerVR
2007-12-07 00:30 . 2000-01-01 01:00 93,700 -ra------ C:\WINDOWS\gamestng.reg
2007-12-07 00:29 . 2007-12-07 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\Internet_2\WINDOWS
2007-12-07 00:29 . 2004-09-22 00:00 12,272 --a------ C:\WINDOWS\system32\drivers\pmxpci.sys
2007-12-07 00:27 . 2007-04-04 20:27 1,471,104 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys
2007-12-07 00:27 . 2007-03-28 10:48 225,357 --a------ C:\WINDOWS\system32\VM31bPrp.Ax
2007-12-07 00:27 . 2004-12-10 10:07 94,208 --a------ C:\WINDOWS\VMCap.exe
2007-12-07 00:27 . 2004-12-10 14:30 61,440 --a------ C:\WINDOWS\system32\VM31bSTI.dll
2007-12-07 00:27 . 2007-03-27 17:24 49,152 --a------ C:\WINDOWS\VM301Snap.exe
2007-12-07 00:27 . 2006-07-04 14:16 49,152 --a------ C:\WINDOWS\Domino.exe
2007-11-27 00:30 . 2007-11-27 00:30 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-11-25 13:37 . 2002-10-16 09:29 49,152 --a------ C:\WINDOWS\amcap.exe
2007-11-24 01:13 . 2007-11-24 01:13 <DIR> d-------- C:\Programme\Xilisoft
2007-11-24 01:04 . 2007-11-24 01:06 <DIR> d-------- C:\Programme\Audiograbber
2007-11-15 20:52 . 2007-11-15 20:52 <DIR> d-------- C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Media Player Classic

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-15 16:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-15 01:10 --------- d-----w C:\Programme\DivX
2007-12-15 01:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-12-14 23:25 --------- d-----w C:\Programme\VirtualDJ
2007-12-11 20:56 --------- d-----w C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\LimeWire
2007-12-11 19:31 --------- d-----w C:\Programme\Metin2_Germany
2007-12-09 17:53 --------- d-----w C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Ahead
2007-12-08 12:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-07 00:01 --------- d-----w C:\Programme\TuneUp Utilities 2007
2007-11-30 21:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpeakyChat
2007-11-26 22:37 --------- d-----w C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\ATI
2007-11-15 20:56 --------- d-----w C:\Programme\LimeWire
2007-10-31 21:43 --------- d-----w C:\Programme\ATI Technologies
2007-10-27 13:38 --------- d-----w C:\Programme\ICQ
2007-10-27 13:38 --------- d-----w C:\Programme\FlashFXP
2007-06-20 01:40 2,100 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8565FBC-8D53-4D4F-9BB0-CBC68A22B126}]
2007-12-14 18:57 286720 --a------ C:\WINDOWS\blopenvxdt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-08 10:36]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 14:09]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"BigDogPath"="C:\WINDOWS\VM301Snap.exe" [2007-03-27 17:24]
"PMXInit"="C:\WINDOWS\system32\pmxinit.exe" [2004-09-22 00:00]
"Domino"="C:\WINDOWS\Domino.exe" [2006-07-04 14:16]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-12 20:45]
"PWRISOVM.EXE"="C:\Programme\PowerISO\PWRISOVM.EXE" [2007-08-07 01:05]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"nopzet"= {4E3BD6C5-E5B9-4E6A-87A4-54CB036C969D} - C:\WINDOWS\nopzet.dll [2007-12-14 18:57 229376]
"leorop"= {E73470E8-1F93-445A-8907-FAB452ABF19E} - C:\WINDOWS\leorop.dll [2007-12-14 18:57 249856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CameraFixer]
C:\WINDOWS\CameraFixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Domino]
2006-07-04 14:16 49152 --a------ C:\WINDOWS\Domino.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 23:47 31016 --a------ C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Tray]
2003-10-30 14:10 667648 --a------ C:\WINDOWS\system32\sistray.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ZyDAS1211BBG"=2 (0x2)
"usnjsvc"=3 (0x3)
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"iPod Service"=3 (0x3)
"idsvc"=3 (0x3)

R1 nvport;NVIDIA PORT IO Control Driver;\??\C:\WINDOWS\system32\Drivers\nvport.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 powervr;powervr;C:\WINDOWS\system32\DRIVERS\powervr.sys
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\PRISMUSB.sys
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-15 20:02:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-15 20:03:24


datFind (hoffe habs richtig gemacht):

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C036-7797

Verzeichnis von C:\WINDOWS\system32

13.12.2007 21:26 156.160 swreg.exe
12.12.2007 03:12 1.919 AUTOEXEC.NT
11.12.2007 20:46 4.816 divxsm.tlb
11.12.2007 20:46 10.152 dsm_de.qm
11.12.2007 20:46 524.288 DivXsm.exe
11.12.2007 20:46 3.596.288 qt-dx331.dll
11.12.2007 20:46 88.824 vxblock.dll
11.12.2007 20:46 118.520 pxinsi64.exe
11.12.2007 20:46 64.760 pxinsa64.exe
11.12.2007 20:46 72.440 pxhpinst.exe
11.12.2007 20:46 518.904 pxdrv.dll
11.12.2007 20:46 120.056 pxcpyi64.exe
11.12.2007 20:46 1.628.920 pxsfs.dll
11.12.2007 20:46 129.784 pxafs.dll
11.12.2007 20:46 551.672 px.dll
11.12.2007 20:46 379.640 pxwave.dll
11.12.2007 20:46 187.128 pxmas.dll
11.12.2007 20:46 66.296 pxcpya64.exe
11.12.2007 20:45 1.044.480 libdivx.dll
11.12.2007 20:45 200.704 ssldivx.dll
11.12.2007 20:44 416 dpl100.dll.manifest
11.12.2007 20:44 81.920 dpl100.dll
11.12.2007 20:44 416 dtu100.dll.manifest
11.12.2007 20:44 196.608 dtu100.dll
11.12.2007 20:44 53.248 dpuGUI10.dll
11.12.2007 20:44 294.912 dpu10.dll
11.12.2007 20:44 593.920 dpuGUI11.dll
11.12.2007 20:44 344.064 dpus11.dll
11.12.2007 20:44 57.344 dpv11.dll
11.12.2007 20:44 294.912 dpu11.dll
11.12.2007 20:44 802.816 divx_xx11.dll
11.12.2007 20:44 682.496 DivX.dll
11.12.2007 20:44 823.296 divx_xx0c.dll
11.12.2007 20:44 823.296 divx_xx07.dll
11.12.2007 20:44 630.784 divxdec.ax
11.12.2007 20:44 156.992 DivXCodecVersionChecker.exe
11.12.2007 20:43 12.288 DivXWMPExtType.dll
11.12.2007 20:43 8.523 dpude.qm
11.12.2007 20:43 3.136 dtu_de.qm
04.12.2007 01:00 136.704 swsc.exe
29.11.2007 22:47 114.688 netlogun.exe
21.11.2007 00:53 2.206 wpa.dbl
31.10.2007 21:59 552 d3d8caps.dat
28.10.2007 07:54 438.824 perfh009.dat
28.10.2007 07:54 70.910 perfc009.dat
28.10.2007 07:54 456.286 perfh007.dat
28.10.2007 07:54 83.778 perfc007.dat
28.10.2007 07:54 1.064.766 PerfStringBackup.INI
10.10.2007 11:49 5.686 jupdate-1.6.0_03-b05.log
03.10.2007 17:52 1.419.232 wdfcoinstaller01005.dll
24.09.2007 22:31 139.264 javaws.exe
24.09.2007 22:31 69.632 javacpl.cpl
24.09.2007 21:30 135.168 javaw.exe
24.09.2007 21:30 135.168 java.exe
18.09.2007 21:29 271.784 FNTCACHE.DAT
18.09.2007 15:40 257.994 TZLog.log
05.09.2007 18:50 17.474.680 MRT.exe

2188 Datei(en) 457.536.681 Bytes
0 Verzeichnis(se), 16.278.437.888 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C036-7797

Verzeichnis von C:\DOKUME~1\INTERN~1\LOKALE~1\Temp

15.12.2007 20:08 107.338 datfind.txt
15.12.2007 20:06 0 BITD.tmp
15.12.2007 20:05 0 BIT27.tmp
15.12.2007 20:05 0 BITC.tmp
4 Datei(en) 107.338 Bytes
0 Verzeichnis(se), 16.278.458.368 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C036-7797

Verzeichnis von C:\WINDOWS

15.12.2007 20:06 22 search_res.txt
15.12.2007 20:06 163 dat.txt
15.12.2007 20:02 246 system.ini
15.12.2007 19:35 0 0.log
15.12.2007 19:35 159 wiadebug.log
15.12.2007 19:35 50 wiaservc.log
15.12.2007 19:33 2.048 bootstat.dat
15.12.2007 19:30 1.806.848 WindowsUpdate.log
15.12.2007 19:10 59.206 ntbtlog.txt
15.12.2007 19:08 60 setupact.log
15.12.2007 15:17 1.034 win.ini
15.12.2007 02:33 116 NeroDigital.ini
14.12.2007 18:57 172.032 retnsrp.dll
14.12.2007 18:57 286.720 blopenvxdt.dll
14.12.2007 18:57 249.856 leorop.dll
14.12.2007 18:57 229.376 nopzet.dll
09.12.2007 15:16 54.156 QTFont.qfn
07.12.2007 00:31 100 start.reg
27.11.2007 01:09 4.610 ModemLog_Sony Ericsson W800 USB WMC Data Modem.txt
27.11.2007 01:09 4.600 ModemLog_Sony Ericsson W800 USB WMC Modem.txt
24.11.2007 02:32 34 cdplayer.ini
15.11.2007 21:00 10 WININIT.INI
12.11.2007 12:24 1.409 QTFont.for
31.10.2007 22:40 1.015 ATICIM.INI
16.10.2007 15:49 102 clientshell.INI
16.10.2007 15:05 151 PhotoSnapViewer.INI

91 Datei(en) 8.414.592 Bytes
0 Verzeichnis(se), 16.278.454.272 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C036-7797

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C036-7797

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.11.2007 00:30 23.600 tvichw32.sys
25.09.2007 00:33 1.055 jinstall-6u3.inf
06.09.2007 11:28 452.056 driveragent.ocx
06.09.2007 11:28 238 driveragent.inf
30.07.2007 18:24 293 wuweb.inf
11.06.2007 12:21 5.021 swflash.inf
22.04.2007 16:01 155 DivXPlugin.inf
13.04.2007 01:14 382.344 GAME_UNO1.dll
23.03.2007 11:17 1.292 erma.inf
14.03.2007 03:02 1.055 jinstall-6u1.inf
08.03.2007 04:27 65 desktop.ini
28.02.2007 14:21 131.472 msgrchkr.dll
28.02.2007 14:21 142.248 SolitaireShowdown.dll
26.02.2007 13:28 293 speakyldr.inf
26.02.2007 13:22 240.424 speakyldr.ocx
22.02.2007 23:41 304.544 MessengerStatsPAClient.dll
14.02.2007 15:30 144 setup.inf
11.02.2007 21:13 253.952 VoiceSecure.ocx
03.02.2007 13:46 2.310 VoiceSecure.inf
30.01.2007 16:28 902 jinstall-1_5_0_11.inf
17.01.2007 14:44 316 GAME_UNO1.INF
09.01.2007 08:30 110.592 PURde-de.dll
01.09.2006 01:40 42.720 GameLauncher.ocx
30.08.2006 21:10 551 GameLauncher.inf
20.06.2006 15:44 379.704 MsnPUpld.dll
20.06.2006 15:44 117.560 PURen-us.dll
19.06.2006 14:40 393 MsnPUpld.inf
29.05.2006 18:26 49.664 VoiceSecureRes.dll
24.01.2006 14:23 397.312 imcv1.dll
24.01.2006 14:22 880 talk.inf
18.01.2006 16:50 57.344 IMSInfo.dll
12.01.2006 19:01 424.960 GGSecure.dll
12.01.2006 18:45 232 GGSecure.inf
28.04.2004 14:57 53.248 ImageOle.dll
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
25.07.2002 16:05 172.032 isusweb.dll
37 Datei(en) 3.972.155 Bytes
0 Verzeichnis(se), 16.278.450.176 Bytes frei
.
.
.
p.s: Log vpm Virenscanner auch vorhanden.



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 15. Dezember 2007 17:28

Es wird nach 972276 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Internet_2
Computername: EF75E1556A574BA

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:55
ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30.11.2007 19:45:57
ANTIVIR3.VDF : 7.0.1.90 227328 Bytes 13.12.2007 20:18:24
AVEWIN32.DLL : 7.6.0.45 3084800 Bytes 13.12.2007 20:18:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 15. Dezember 2007 17:28

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '14' Prozesse mit '14' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '26' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Internet_2\Desktop\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c60250.qua' verschoben!
C:\Dokumente und Einstellungen\Internet_2\Desktop\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d70250.qua' verschoben!
C:\Dokumente und Einstellungen\Internet_2\Eigene Dateien\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47cd0262.qua' verschoben!
C:\WINDOWS\Downloaded Program Files\speakyldr.ocx
[WARNUNG] 'Enthält verdächtigen Code: HEUR/Malware'. Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\speakyldr.ocx
[WARNUNG] 'Enthält verdächtigen Code: HEUR/Malware'. Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 15. Dezember 2007 18:38
Benötigte Zeit: 1:09:55 min

Der Suchlauf wurde vollständig durchgeführt.

5545 Verzeichnisse wurden überprüft
226619 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
226615 Dateien ohne Befall
3751 Archive wurden durchsucht
4 Warnungen
0 Hinweise
Dieser Beitrag wurde am 15.12.2007 um 20:18 Uhr von akpinar editiert.
Seitenanfang Seitenende
15.12.2007, 22:07
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 16:57
...neu hier

Themenstarter

Beiträge: 5
#3 Ok, ich habe es gemacht was du geschrieben hast.

Hier sind die folgende Berichte:

----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\blopenvxdt.dll
C:\WINDOWS\dat.txt
C:\WINDOWS\nopzet.dll
C:\WINDOWS\retnsrp.dll
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\netlogun.exe
C:\WINDOWS\system32\actskn45.ocx
----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\dat.txt
C:\WINDOWS\nopzet.dll
C:\WINDOWS\retnsrp.dll
C:\WINDOWS\system32\netlogun.exe
C:\WINDOWS\leorop.dll
C:\Dokumente und Einstellungen\Internet_2\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Internet_2\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Internet_2\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Internet_2\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\Internet_2\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\Internet_2\FAVORI~1\Spyware&Malware Protection.url

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:03, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\VM301Snap.exe
C:\WINDOWS\Domino.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Internet_2\Eigene Dateien\Downloads\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cf.icq.com/cf/icq5/0/unregister.html
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: BDEX System - {A8565FBC-8D53-4D4F-9BB0-CBC68A22B126} - C:\WINDOWS\blopenvxdt.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM301Snap.exe Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {34635AA6-B593-4F06-9EDD-5FF60FC13310} (Speaky Chat) - http://download.speakyweb.com/speakyldr.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {58EF1388-AF07-4D13-A069-D107671B8819} - http://www.gamegarden.net/game/ggsecure.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189830328109
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://75.126.208.167/talk.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EB745DC-0F75-48A7-AF81-FE2F685A7791}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{6EB745DC-0F75-48A7-AF81-FE2F685A7791}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS3\Services\Tcpip\..\{6EB745DC-0F75-48A7-AF81-FE2F685A7791}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

--
End of file - 6513 bytes
Seitenanfang Seitenende
16.12.2007, 17:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: BDEX System - {A8565FBC-8D53-4D4F-9BB0-CBC68A22B126} - C:\WINDOWS\blopenvxdt.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Auf C:\[b]combofix.txt[/b entfernen und poste nochmal ein log von ComboFix
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 18:27
...neu hier

Themenstarter

Beiträge: 5
#5 Hier ist das ComboFix Log.

ComboFix 07-12-16.3 - Internet_2 2007-12-16 18:22:23.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.267 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Internet_2\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-16 bis 2007-12-16 ))))))))))))))))))))))))))))))
.

2007-12-16 17:20 . 2007-12-16 17:20 <DIR> d-------- C:\WINDOWS\LastGood
2007-12-15 19:06 . 2007-12-15 19:06 <DIR> d-------- C:\Dokumente und Einstellungen\Internet_2\DoctorWeb
2007-12-15 02:25 . 2007-12-15 04:49 <DIR> d-------- C:\Programme\SmartVideoCodec
2007-12-15 02:20 . 2004-07-09 08:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-12-15 02:04 . 2005-09-01 11:03 127,488 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2007-12-15 02:04 . 2005-09-01 11:03 5,888 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2007-12-15 02:03 . 2007-12-15 02:03 <DIR> d-------- C:\Programme\Ahead
2007-12-15 02:03 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-12-15 02:03 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-12-15 02:03 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-12-15 02:03 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-12-15 02:03 . 2006-01-12 15:40 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-12-15 02:03 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-12-15 01:33 . 2007-12-15 01:33 <DIR> d-------- C:\Programme\PowerISO
2007-12-12 20:43 . 2007-12-12 20:43 <DIR> d-------- C:\Programme\Avira
2007-12-12 20:43 . 2007-12-12 20:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-12 15:49 . 2007-12-12 15:49 <DIR> d-------- C:\Programme\BitTorrent
2007-12-12 15:49 . 2007-12-16 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\BitTorrent
2007-12-11 20:46 . 2007-12-11 20:46 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 20:46 . 2007-12-11 20:46 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-12-11 20:46 . 2007-12-11 20:46 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2007-12-11 20:46 . 2007-12-11 20:46 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2007-12-11 20:45 . 2007-12-11 20:45 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 20:45 . 2007-12-11 20:45 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 20:43 . 2007-12-11 20:43 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-11 20:43 . 2007-12-11 20:43 8,523 --a------ C:\WINDOWS\system32\dpude.qm
2007-12-11 20:43 . 2007-12-11 20:43 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2007-12-08 02:05 . 2007-12-08 02:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-12-07 00:31 . 2007-12-07 00:31 100 --a------ C:\WINDOWS\start.reg
2007-12-07 00:30 . 2007-12-07 00:30 <DIR> d-------- C:\Programme\PowerVR
2007-12-07 00:30 . 2000-01-01 01:00 93,700 -ra------ C:\WINDOWS\gamestng.reg
2007-12-07 00:29 . 2007-12-07 00:29 <DIR> d-------- C:\Dokumente und Einstellungen\Internet_2\WINDOWS
2007-12-07 00:29 . 2004-09-22 00:00 12,272 --a------ C:\WINDOWS\system32\drivers\pmxpci.sys
2007-12-07 00:27 . 2007-04-04 20:27 1,471,104 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys
2007-12-07 00:27 . 2007-03-28 10:48 225,357 --a------ C:\WINDOWS\system32\VM31bPrp.Ax
2007-12-07 00:27 . 2004-12-10 10:07 94,208 --a------ C:\WINDOWS\VMCap.exe
2007-12-07 00:27 . 2004-12-10 14:30 61,440 --a------ C:\WINDOWS\system32\VM31bSTI.dll
2007-12-07 00:27 . 2007-03-27 17:24 49,152 --a------ C:\WINDOWS\VM301Snap.exe
2007-12-07 00:27 . 2006-07-04 14:16 49,152 --a------ C:\WINDOWS\Domino.exe
2007-11-27 00:30 . 2007-11-27 00:30 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-11-25 13:37 . 2002-10-16 09:29 49,152 --a------ C:\WINDOWS\amcap.exe
2007-11-24 01:13 . 2007-11-24 01:13 <DIR> d-------- C:\Programme\Xilisoft
2007-11-24 01:04 . 2007-11-24 01:06 <DIR> d-------- C:\Programme\Audiograbber

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-16 17:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-16 16:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-15 19:58 --------- d-----w C:\Programme\Metin2_Germany
2007-12-15 01:10 --------- d-----w C:\Programme\DivX
2007-12-15 01:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-12-14 23:25 --------- d-----w C:\Programme\VirtualDJ
2007-12-11 20:56 --------- d-----w C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\LimeWire
2007-12-11 19:46 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-12-11 19:46 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-12-11 19:46 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-11 19:44 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-12-11 19:44 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-11 19:44 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-12-11 19:44 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-12-11 19:44 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-12-11 19:44 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-12-11 19:44 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-12-11 19:44 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-12-11 19:44 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-12-11 19:44 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-11 19:44 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-12-09 17:53 --------- d-----w C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Ahead
2007-12-08 12:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-07 00:01 --------- d-----w C:\Programme\TuneUp Utilities 2007
2007-11-30 21:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpeakyChat
2007-11-26 22:37 --------- d-----w C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\ATI
2007-11-15 20:56 --------- d-----w C:\Programme\LimeWire
2007-11-15 19:52 --------- d-----w C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Media Player Classic
2007-10-31 21:43 --------- d-----w C:\Programme\ATI Technologies
2007-10-27 13:38 --------- d-----w C:\Programme\ICQ
2007-10-27 13:38 --------- d-----w C:\Programme\FlashFXP
2007-10-03 16:52 1,419,232 ----a-w C:\WINDOWS\system32\wdfcoinstaller01005.dll
2007-06-20 01:40 2,100 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-08 10:36]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 14:09]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"BigDogPath"="C:\WINDOWS\VM301Snap.exe" [2007-03-27 17:24]
"PMXInit"="C:\WINDOWS\system32\pmxinit.exe" [2004-09-22 00:00]
"Domino"="C:\WINDOWS\Domino.exe" [2006-07-04 14:16]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-12 20:45]
"PWRISOVM.EXE"="C:\Programme\PowerISO\PWRISOVM.EXE" [2007-08-07 01:05]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CameraFixer]
C:\WINDOWS\CameraFixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Domino]
2006-07-04 14:16 49152 --a------ C:\WINDOWS\Domino.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 23:47 31016 --a------ C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Tray]
2003-10-30 14:10 667648 --a------ C:\WINDOWS\system32\sistray.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ZyDAS1211BBG"=2 (0x2)
"usnjsvc"=3 (0x3)
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"iPod Service"=3 (0x3)
"idsvc"=3 (0x3)

R1 nvport;NVIDIA PORT IO Control Driver;\??\C:\WINDOWS\system32\Drivers\nvport.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 powervr;powervr;C:\WINDOWS\system32\DRIVERS\powervr.sys
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\PRISMUSB.sys
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 18:25:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-16 18:26:22
Seitenanfang Seitenende
16.12.2007, 18:46
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Entferne von C:\Programme\SmartVideoCodec

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Scanne mit AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Fertig
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 18:49
...neu hier

Themenstarter

Beiträge: 5
#7 Danke, danke. ;)))) Du hast mir sehr geholfen, vielen dank. Und kannst du mir irgendetwas Empfehlen um meinen PC zukünftig zu schützen. ;)
Seitenanfang Seitenende
16.12.2007, 18:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Du hast ein guten Virenscanner und jetzt auch noch AVG
Stelle Antivir ein wie hier beschrieben
http://board.protecus.de/t23979.htm

Vielleicht ist Site Advisor etwas fuer dich http://www.siteadvisor.com/
__________
MfG Argus
Seitenanfang Seitenende
17.12.2007, 16:52
...neu hier

Themenstarter

Beiträge: 5
#9 vielen dank nochmal, läuft alles wieder wie es soll ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: