Verdacht auf Trojaner oder anderen Virus

#0
16.12.2007, 20:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#16 Wenn es mit CounterSpy nicht geht versuche SuperAntiSpyware
Download SuperAntiSpyware
http://board.protecus.de/t31252-1.htm

Wird BearShare noch benutzt?
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 20:25
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#17 Entferne von C:\combofix.txt)
Und poste ein neues log von ComboFix
__________
MfG Argus
Seitenanfang Seitenende
17.12.2007, 14:58
Member

Themenstarter

Beiträge: 23
#18 Doch hat am Ende doch mit CounterSpy funktioniert. Nein BearShare wir nicht mehr benutzt . Internet ist immer noch total langsam .
Neues Textlog ist :

ComboFix 07-12-12.3 - hiby-asianowaa 2007-12-17 14:14:43.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.635 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-17 bis 2007-12-17 ))))))))))))))))))))))))))))))
.

2007-12-17 07:34 . 2007-12-17 07:34 <DIR> d-------- C:\SmitfraudFix
2007-12-16 18:45 . 2007-12-16 18:45 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-12-16 18:40 . 2007-12-16 18:40 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-12-16 18:40 . 2007-12-16 18:40 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-12-16 18:38 . 2007-12-16 18:38 <DIR> d-------- C:\Programme\Sunbelt Software
2007-12-16 18:38 . 2007-12-16 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\Sunbelt Software
2007-12-16 18:38 . 2007-12-16 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2007-12-16 12:31 . 2007-12-16 12:31 1,488 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-16 12:26 . 2007-12-16 12:06 1,125,659 --a------ C:\SmitfraudFix.exe
2007-12-16 12:15 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-16 12:15 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-16 12:15 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-16 12:15 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-16 12:15 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-16 12:15 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-15 00:47 . 2007-12-15 00:47 268 --ah----- C:\sqmdata02.sqm
2007-12-15 00:47 . 2007-12-15 00:47 244 --ah----- C:\sqmnoopt04.sqm
2007-12-14 14:39 . 2007-12-14 14:39 <DIR> d-------- C:\Programme\Gravity
2007-12-07 15:25 . 2007-12-17 14:08 <DIR> d-------- C:\Programme\Arovax AntiSpyware
2007-12-07 15:25 . 2007-12-07 15:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Arovax
2007-12-05 12:53 . 2007-12-08 17:41 <DIR> d-------- C:\Programme\Valve
2007-12-02 08:53 . 2007-12-02 08:53 <DIR> d-------- C:\Programme\WoW-BurningCrusade-deDE-Slim-Installer
2007-11-30 15:21 . 2007-11-30 15:21 25 --a------ C:\WINDOWS\TDH_Launcher.ini
2007-11-30 15:07 . 2007-11-30 16:00 <DIR> d-------- C:\Mgame
2007-11-25 21:20 . 2007-12-01 14:40 <DIR> d-------- C:\Programme\Metin2_Germany
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Programme\MySpace
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\MySpace
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Programme\SopCast
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\SopCast
2007-11-22 12:06 . 2007-11-22 13:09 <DIR> d-------- C:\Programme\sXe Injected
2007-11-21 20:55 . 2007-12-03 15:58 <DIR> d-------- C:\Programme\Counter Strike 1.6 Reloaded

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-17 13:10 --------- d-----w C:\Programme\ICQToolbar
2007-12-16 19:00 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\AVG7
2007-12-14 13:43 65,536 ----a-w C:\WINDOWS\IFinst27.exe
2007-12-08 13:54 --------- d-----w C:\Programme\ICQ6
2007-11-30 14:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-18 16:01 --------- d-----w C:\Programme\Microsoft Games
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-03 15:54 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\Hamachi
2007-11-02 12:57 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-19 15:53 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\ICQ Toolbar
2007-10-04 06:44 3,932 ----a-w C:\WINDOWS\system32\ealregsnapshot1.reg
2006-12-10 20:37 52,736 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-11-01 18:26 382 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb1942.dat
2006-11-01 18:26 20,480 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb4827.dat
2006-11-01 18:26 151 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb2391.dat
2006-10-27 20:10 0 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb5436.dat
2006-10-26 09:02 562,760 ----a-w C:\Programme\QTPlugin.ocx
2006-10-26 09:01 5,580,360 ----a-w C:\Programme\QuickTimePlayer.exe
2006-10-25 18:38 712,704 ----a-w C:\Programme\QTOControl.dll
2006-10-25 18:38 675,840 ----a-w C:\Programme\QTOLibrary.dll
2006-10-25 18:38 598,016 ----a-w C:\Programme\QTInfo.exe
2006-10-25 18:38 303,104 ----a-w C:\Programme\QTUIPanelControl.dll
2006-10-25 18:17 483,328 ----a-w C:\Programme\PictureViewer.exe
2006-10-25 17:58 282,624 ----a-w C:\Programme\qttask.exe
2006-10-04 08:15 4,096 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\log.dat
2006-08-25 10:21 9,944 ----a-w C:\Programme\QuickTime Read Me.htm
2006-05-28 18:53 6,076 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\wklnhst.dat
2005-09-27 11:13 55,622 ----a-w C:\Programme\Sample.mov
2005-09-27 11:13 18,663 ----a-w C:\Programme\Sample.qtif
2005-01-29 10:47 962 ----a-w C:\Programme\INSTALL.LOG
2006-12-23 21:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006122320061224\index.dat
.

((((((((((((((((((((((((((((( snapshot_2007-12-13_20.24.12,60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-16 17:38:29 19,230 ----a-r C:\WINDOWS\Installer\{B0EB7BCE-1779-46D7-A27C-41D1457F7958}\ARPPRODUCTICON.exe
- 2004-08-24 10:32:16 466,944 ----a-w C:\WINDOWS\system32\capicom.dll
+ 2006-12-28 15:13:52 516,832 ----a-w C:\WINDOWS\system32\capicom.dll
+ 2006-10-30 09:30:30 10,032 ----a-w C:\WINDOWS\system32\drivers\SBTEDrv.sys
+ 2005-11-02 09:39:14 131,072 ----a-w C:\WINDOWS\system32\MD5.dll
+ 2005-11-02 09:39:16 24,924 ----a-w C:\WINDOWS\system32\openports.dll
+ 2003-02-21 06:16:08 49,152 ----a-w C:\WINDOWS\system32\REGTLIB.EXE
- 2007-12-13 19:04:22 1,804,508 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
+ 2007-12-17 06:34:27 2,524,488 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
+ 2007-08-27 09:26:10 27,120 ----a-w C:\WINDOWS\system32\SBBD.exe
+ 2005-11-02 09:39:16 40,960 ----a-w C:\WINDOWS\system32\SDelete.dll
+ 2006-06-22 13:40:28 493,400 ----a-w C:\WINDOWS\system32\XceedZip.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-02 08:37]
"Arovax AntiSpyware"="C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe" [2007-07-07 10:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 08:48]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-08-14 01:04]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Metacafe.lnk - C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Programme\Metacafe\MetacafeAgent.exe [2006-11-02 14:10:59]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^Routenplaner Profi.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\Routenplaner Profi.lnk
backup=C:\WINDOWS\pss\Routenplaner Profi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2004-09-29 07:15 344064 --a------ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe /pause

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
2004-09-03 13:11 58488 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmonitor]
C:\Programme\SystemDoctor 2006 Free\startupmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host Process]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer]
C:\Program Files\Internet Optimizer\optimize.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JcEvjgn]
C:\WINDOWS\ekcejsi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Neuer Leon Ordner\hmm\MsgPlus.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWFX5U_0001_N57M1412]
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\leons musikordner\WinFixer2005ScannerInstallDE.exe -nag

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ReJf5vH]
C:\WINDOWS\tyaiu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 13:03 36975 --a------ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SurfAccuracy]
C:\Programme\SurfAccuracy\SAcc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe /r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
2004-09-21 22:57 33936 --a------ C:\Programme\Norton Internet Security\UrlLstCk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vgyabzcd]
C:\Program Files\Vqzg\Jmoxp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
c:\programme\zango\zango.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SymWSC"=2 (0x2)
"Symantec Core LC"=0 (0x0)
"SNDSrvc"=3 (0x3)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"Nla"=0 (0x0)
"ISSVC"=2 (0x2)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"ccSetMgr"=0 (0x0)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=0 (0x0)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
R3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
S3 wlags48d;Agere Wireless PCCard Service;C:\WINDOWS\system32\DRIVERS\wlags48d.sys
S3 XDva030;XDva030;\??\C:\WINDOWS\system32\XDva030.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7}]
\Shell\AutoRun\command - L:\OEMBranding.exe

*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners
"2007-12-15 16:51:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-17 14:16:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-17 14:17:10
C:\ComboFix-quarantined-files.txt ... 2007-09-30 15:51
C:\ComboFix2.txt ... 2007-12-16 12:45
.
2007-12-13 13:09:38 --- E O F ---
Seitenanfang Seitenende
17.12.2007, 16:25
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#19 cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\ekcejsi.exe
C:\WINDOWS\tyaiu.exe
C:\WINDOWS\system32\P2P Networking

Folder::
C:\Programme\BearShare
C:\Programme\SystemDoctor 2006 Free
C:\Program Files\Internet Optimizer
C:\Programme\SurfAccuracy
C:\Programme\Norton Internet Security
C:\Program Files\Vqzg
c:\programme\zango

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JcEvjgn]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWFX5U_0001_N57M1412]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ReJf5vH]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SurfAccuracy]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vgyabzcd]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



HostsXpert
Download HostsXpert 4

Mach mit
eine verknuepfung zum Desktop

Klicke nur! “Restore MSHosts file”

DrWeb CureIt!
Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus
Seitenanfang Seitenende
18.12.2007, 07:55
Member

Themenstarter

Beiträge: 23
#20 Neues Textlog ist :
ComboFix 07-12-12.3 - hiby-asianowaa 2007-12-18 7:39:45.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.647 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\ekcejsi.exe
C:\WINDOWS\system32\P2P Networking
C:\WINDOWS\tyaiu.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Vqzg
C:\Programme\Norton Internet Security
C:\Programme\Norton Internet Security\ACDisp.dll
C:\Programme\Norton Internet Security\ActRes.DLL
C:\Programme\Norton Internet Security\ALECmpBR.dll
C:\Programme\Norton Internet Security\AlertAst.exe
C:\Programme\Norton Internet Security\AlertAst.tlb
C:\Programme\Norton Internet Security\ALEScan.exe
C:\Programme\Norton Internet Security\ALEUpdat.exe
C:\Programme\Norton Internet Security\Branding.ini
C:\Programme\Norton Internet Security\ccALE.dll
C:\Programme\Norton Internet Security\ccEmFlSv.exe
C:\Programme\Norton Internet Security\ccEmlflt.dll
C:\Programme\Norton Internet Security\ccFWSetg.dll
C:\Programme\Norton Internet Security\ccRuleIO.dll
C:\Programme\Norton Internet Security\CfgWiz.exe
C:\Programme\Norton Internet Security\CfgWzRes.dll
C:\Programme\Norton Internet Security\DJSAlert.dll
C:\Programme\Norton Internet Security\FREAles.dll
C:\Programme\Norton Internet Security\FREInteg.dll
C:\Programme\Norton Internet Security\FREPCtrl.dll
C:\Programme\Norton Internet Security\FREPrvcy.dll
C:\Programme\Norton Internet Security\FRERules.dll
C:\Programme\Norton Internet Security\FRESettg.dll
C:\Programme\Norton Internet Security\fwUI.dll
C:\Programme\Norton Internet Security\HNetCore.dll
C:\Programme\Norton Internet Security\HNetWiz.exe
C:\Programme\Norton Internet Security\iamstats.exe
C:\Programme\Norton Internet Security\ICFMgr.dll
C:\Programme\Norton Internet Security\IDSDefs\SymIDSCo.sys
C:\Programme\Norton Internet Security\IDSDefs\SymIDSCo.vxd
C:\Programme\Norton Internet Security\IDSDefs\SymIDSI.dll
C:\Programme\Norton Internet Security\ISLAlert.dll
C:\Programme\Norton Internet Security\ISLuCbk.dll
C:\Programme\Norton Internet Security\ISSTE.dll
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\ISWrap.dll
C:\Programme\Norton Internet Security\LocWiz.dll
C:\Programme\Norton Internet Security\LRSend.exe
C:\Programme\Norton Internet Security\LtChkRes.dll
C:\Programme\Norton Internet Security\NISABOUT.DLL
C:\Programme\Norton Internet Security\NISAlert.dll
C:\Programme\Norton Internet Security\NisCfgWz.dll
C:\Programme\Norton Internet Security\niscmnht.dll
C:\Programme\Norton Internet Security\nislcom.dll
C:\Programme\Norton Internet Security\NISLUCBK.DLL
C:\Programme\Norton Internet Security\NisLVPlg.dll
C:\Programme\Norton Internet Security\nisopts.dll
C:\Programme\Norton Internet Security\NISPLUG.DLL
C:\Programme\Norton Internet Security\NISPLUG.NSI
C:\Programme\Norton Internet Security\NISProd.dll
C:\Programme\Norton Internet Security\nisres.dll
C:\Programme\Norton Internet Security\NisTray.dll
C:\Programme\Norton Internet Security\ObrkAV.dll
C:\Programme\Norton Internet Security\ObrkData.dll
C:\Programme\Norton Internet Security\ObrkIDS.dll
C:\Programme\Norton Internet Security\pcwiz.dll
C:\Programme\Norton Internet Security\PCWiz.exe
C:\Programme\Norton Internet Security\PtchInst.dll
C:\Programme\Norton Internet Security\RLevel.dll
C:\Programme\Norton Internet Security\SFwAlert.dll
C:\Programme\Norton Internet Security\SNLog.dll
C:\Programme\Norton Internet Security\SymFwAgt.DLL
C:\Programme\Norton Internet Security\SymLCUI.dll
C:\Programme\Norton Internet Security\SymUIHlp.dll
C:\Programme\Norton Internet Security\SYMURL.DLL
C:\Programme\Norton Internet Security\TLevel.dll
C:\Programme\Norton Internet Security\UrlLstCk.exe
C:\Programme\Norton Internet Security\Urlupdat.exe
C:\Programme\Norton Internet Security\WrapUM.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-18 bis 2007-12-18 ))))))))))))))))))))))))))))))
.

2007-12-17 07:34 . 2007-12-17 07:34 <DIR> d-------- C:\SmitfraudFix
2007-12-16 18:45 . 2007-12-16 18:45 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-12-16 18:40 . 2007-12-16 18:40 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-12-16 18:40 . 2007-12-16 18:40 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-12-16 18:38 . 2007-12-16 18:38 <DIR> d-------- C:\Programme\Sunbelt Software
2007-12-16 18:38 . 2007-12-16 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\Sunbelt Software
2007-12-16 18:38 . 2007-12-16 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2007-12-16 12:31 . 2007-12-16 12:31 1,488 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-16 12:26 . 2007-12-16 12:06 1,125,659 --a------ C:\SmitfraudFix.exe
2007-12-16 12:15 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-16 12:15 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-16 12:15 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-16 12:15 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-16 12:15 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-16 12:15 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-15 00:47 . 2007-12-15 00:47 268 --ah----- C:\sqmdata02.sqm
2007-12-15 00:47 . 2007-12-15 00:47 244 --ah----- C:\sqmnoopt04.sqm
2007-12-14 14:39 . 2007-12-14 14:39 <DIR> d-------- C:\Programme\Gravity
2007-12-07 15:25 . 2007-12-18 07:34 <DIR> d-------- C:\Programme\Arovax AntiSpyware
2007-12-07 15:25 . 2007-12-07 15:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Arovax
2007-12-05 12:53 . 2007-12-08 17:41 <DIR> d-------- C:\Programme\Valve
2007-12-02 08:53 . 2007-12-02 08:53 <DIR> d-------- C:\Programme\WoW-BurningCrusade-deDE-Slim-Installer
2007-11-30 15:21 . 2007-11-30 15:21 25 --a------ C:\WINDOWS\TDH_Launcher.ini
2007-11-30 15:07 . 2007-11-30 16:00 <DIR> d-------- C:\Mgame
2007-11-25 21:20 . 2007-12-01 14:40 <DIR> d-------- C:\Programme\Metin2_Germany
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Programme\MySpace
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\MySpace
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Programme\SopCast
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\SopCast
2007-11-22 12:06 . 2007-11-22 13:09 <DIR> d-------- C:\Programme\sXe Injected
2007-11-21 20:55 . 2007-12-03 15:58 <DIR> d-------- C:\Programme\Counter Strike 1.6 Reloaded

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-17 13:10 --------- d-----w C:\Programme\ICQToolbar
2007-12-16 19:00 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\AVG7
2007-12-14 13:43 65,536 ----a-w C:\WINDOWS\IFinst27.exe
2007-12-08 13:54 --------- d-----w C:\Programme\ICQ6
2007-11-30 14:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-18 16:01 --------- d-----w C:\Programme\Microsoft Games
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-03 15:54 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\Hamachi
2007-10-19 15:53 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\ICQ Toolbar
2006-12-10 20:37 52,736 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-11-01 18:26 382 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb1942.dat
2006-11-01 18:26 20,480 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb4827.dat
2006-11-01 18:26 151 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb2391.dat
2006-10-27 20:10 0 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb5436.dat
2006-10-26 09:02 562,760 ----a-w C:\Programme\QTPlugin.ocx
2006-10-26 09:01 5,580,360 ----a-w C:\Programme\QuickTimePlayer.exe
2006-10-25 18:38 712,704 ----a-w C:\Programme\QTOControl.dll
2006-10-25 18:38 675,840 ----a-w C:\Programme\QTOLibrary.dll
2006-10-25 18:38 598,016 ----a-w C:\Programme\QTInfo.exe
2006-10-25 18:38 303,104 ----a-w C:\Programme\QTUIPanelControl.dll
2006-10-25 18:17 483,328 ----a-w C:\Programme\PictureViewer.exe
2006-10-25 17:58 282,624 ----a-w C:\Programme\qttask.exe
2006-10-04 08:15 4,096 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\log.dat
2006-08-25 10:21 9,944 ----a-w C:\Programme\QuickTime Read Me.htm
2006-05-28 18:53 6,076 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\wklnhst.dat
2005-09-27 11:13 55,622 ----a-w C:\Programme\Sample.mov
2005-09-27 11:13 18,663 ----a-w C:\Programme\Sample.qtif
2005-01-29 10:47 962 ----a-w C:\Programme\INSTALL.LOG
2006-12-23 21:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006122320061224\index.dat
.

((((((((((((((((((((((((((((( snapshot_2007-12-13_20.24.12,60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-16 17:38:29 19,230 ----a-r C:\WINDOWS\Installer\{B0EB7BCE-1779-46D7-A27C-41D1457F7958}\ARPPRODUCTICON.exe
- 2004-08-24 10:32:16 466,944 ----a-w C:\WINDOWS\system32\capicom.dll
+ 2006-12-28 15:13:52 516,832 ----a-w C:\WINDOWS\system32\capicom.dll
+ 2006-10-30 09:30:30 10,032 ----a-w C:\WINDOWS\system32\drivers\SBTEDrv.sys
+ 2005-11-02 09:39:14 131,072 ----a-w C:\WINDOWS\system32\MD5.dll
+ 2005-11-02 09:39:16 24,924 ----a-w C:\WINDOWS\system32\openports.dll
+ 2003-02-21 06:16:08 49,152 ----a-w C:\WINDOWS\system32\REGTLIB.EXE
- 2007-12-13 19:04:22 1,804,508 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
+ 2007-12-17 06:34:27 2,524,488 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
+ 2007-08-27 09:26:10 27,120 ----a-w C:\WINDOWS\system32\SBBD.exe
+ 2005-11-02 09:39:16 40,960 ----a-w C:\WINDOWS\system32\SDelete.dll
+ 2006-06-22 13:40:28 493,400 ----a-w C:\WINDOWS\system32\XceedZip.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-02 08:37]
"Arovax AntiSpyware"="C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe" [2007-07-07 10:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 08:48]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-08-14 01:04]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Metacafe.lnk - C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Programme\Metacafe\MetacafeAgent.exe [2006-11-02 14:10:59]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^Routenplaner Profi.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\Routenplaner Profi.lnk
backup=C:\WINDOWS\pss\Routenplaner Profi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2004-09-29 07:15 344064 --a------ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
2004-09-03 13:11 58488 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmonitor]
C:\Programme\SystemDoctor 2006 Free\startupmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host Process]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Neuer Leon Ordner\hmm\MsgPlus.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 13:03 36975 --a------ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe /r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
C:\Programme\Norton Internet Security\UrlLstCk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SymWSC"=2 (0x2)
"Symantec Core LC"=0 (0x0)
"SNDSrvc"=3 (0x3)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"Nla"=0 (0x0)
"ISSVC"=2 (0x2)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"ccSetMgr"=0 (0x0)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=0 (0x0)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
R3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
S3 wlags48d;Agere Wireless PCCard Service;C:\WINDOWS\system32\DRIVERS\wlags48d.sys
S3 XDva030;XDva030;\??\C:\WINDOWS\system32\XDva030.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7}]
\Shell\AutoRun\command - L:\OEMBranding.exe

*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners
"2007-12-15 16:51:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-18 07:42:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-18 7:43:09
C:\ComboFix-quarantined-files.txt ... 2007-09-30 15:51
C:\ComboFix2.txt ... 2007-12-17 14:17
C:\ComboFix3.txt ... 2007-12-16 12:45
.
2007-12-13 13:09:38 --- E O F ---



Irgendwas falsch?
Habe HostXpert schon benutzt aber mein Internet ist weiterhin langsam.
DrWeb CureIt! lade ich gerader herunter. Für 8 Mb 10 Minuten ;)

Komischerweise wurde nach dem ausführen von Combofix der Pc Nicht neu gestartet?
Seitenanfang Seitenende
18.12.2007, 08:24
Member
Avatar Chris4You

Beiträge: 694
#21 Hi,

kurze Einmischung (Tschuldigung Arni):

Achtung, bitte prüfe die Datei:
C:\WINDOWS\system32\scvvhost.exe
(Könnte "W32/Forbot-DH Backdoor" sein)...

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Poste das Ergebnis...
Chris (and out)
Seitenanfang Seitenende
18.12.2007, 08:57
Member

Themenstarter

Beiträge: 23
#22 Hm da steht,dass scvvhost.exe nicht gefunden werden konnte.
Seitenanfang Seitenende
18.12.2007, 12:52
Member
Avatar Chris4You

Beiträge: 694
#23 Hi,

sie ist aber auch nicht gelöscht worden (zumindest nicht lt. den hier veröffentlichten "Protokollen")...

Ist Windows (Explorer) so eingestellt, dass er alle Dateien anzeigt?
Verborgene Dateien sichtbar machen:
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
oder
http://freenet-homepage.de/rene-gad/invisible.html

Die Datei kommt dauern vor, in den unterschiedlichsten Kontexten und ist mit Sicherheit ein Trojaner:

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

scvvhost.exe

in edit und klicke "Ok".
Notepad wird sich öffnen - poste den text

chris

ps.:
Vorkommen tut sie z. B.:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
C:\WINDOWS\system32\scvvhost.exe
..
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host Process]
C:\WINDOWS\system32\scvvhost.exe
..

Die richtige Datei müsste heisen:
C:\WINDOWS\system32\svchost.exe, ca. 14KB groß!
Seitenanfang Seitenende
18.12.2007, 13:26
Member

Themenstarter

Beiträge: 23
#24 ALso das Textlog ist:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 18.12.2007 13:25:04 for strings:
; 'scvvhost.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Generic Host Process]
"command"="C:\\WINDOWS\\system32\\scvvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
"command"="C:\\WINDOWS\\system32\\scvvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Run]
"command"="C:\\WINDOWS\\system32\\scvvhost.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvvhost.exe"

; End Of The Log...


Und Nun?
Seitenanfang Seitenende
18.12.2007, 13:44
Member
Avatar Chris4You

Beiträge: 694
#25 Hi,

hast du nochmal versucht die Datei (scvvhost.exe) zu finden?
(Nach Anpassung der Explorereinstellungen)?

Lassen wir mal den CCleaner los und suche danach noch mal nach den Einträgen...
http://www.CCleaner.com/CCleaner-20
(Registery säubern lassen)...

Rootkitscann mit BlackLight:
http://virus-protect.org/artikel/tools/rootkithook.html
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

Scannen mir Dr. Web:
Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Poste alle Logs...

Falls bei diesen Sachen nichts herauskommt, würde ich annehmen, das die Datei im Vorfeld gelöscht wurde und die Einträge aus der Registry löschen...

chris
Seitenanfang Seitenende
18.12.2007, 14:01
Member

Themenstarter

Beiträge: 23
#26 Hm jetzt fällt mir wieder etwas ein. Bis vor 2-3 Monaten erschien auf dem Bildschierm immer nachdem ich den Pc hochgefahren habe ein Fenster in dem gerschrieben war: Die Datei (glaube es scvvhost.exe bin mir aber nur 60% sicher ) konnte nicht gefunden werden. Da der Pc aber weiterhin gut lief und cih wie gesagt ein kompletter Neuling bin, habe ich nicht gedacht, dass das schlim sei und deswegen nicht gehandelt.

Ist das ein Problem?
Seitenanfang Seitenende
18.12.2007, 14:26
Member
Avatar Chris4You

Beiträge: 694
#27 Hi,

nein, wenn sie wirklich weg ist (deswegen Blacklight und Dr.Web) ist es OK, unschön sind dann halt nur noch die Registry-Einträge...

Chris
Seitenanfang Seitenende
18.12.2007, 14:46
Member

Themenstarter

Beiträge: 23
#28 Und was soll ich nun tun ?
Seitenanfang Seitenende
18.12.2007, 14:50
Member
Avatar Chris4You

Beiträge: 694
#29 Hi,

scanne wie angegeben mit Blacklight/Dr. Web und poste die Logs der
beiden...

chris
Seitenanfang Seitenende
18.12.2007, 15:04
Member

Themenstarter

Beiträge: 23
#30 Hm finde irgendwie Blacklight nicht. Dr. Web lade ich gerade runter
Seitenanfang Seitenende