Verdacht auf Trojaner oder anderen Virus

#0
15.12.2007, 23:54
Member

Beiträge: 23
#1 Hi, ich habe schon ewig nach posts gesucht aber einfach nichts gefunden deswegen schreib ich einfach mal selbst einen.
Also : Seit ca. einer Woche ist mein internet extrem langsam. Habe es schon oft mit einer Systemwiederherstellung probiert doch die scheitert jedes mal. Deaktiviert ist die Systemwiederherstellung nicht doch sie funktioniert trotzdem nicht deshalb denke ich, dass ich einen Virus habe.
Ich bin ,was solche Dinge betrifft, ein kompletter Neuling und bitte deshalb um eine einfach formulierte Antwort oder einen Hinweis auf einen ähnlichen post zu meinem Problem.
Mich würde eine schnelle Antwort freuen.
mfg Leon
Seitenanfang Seitenende
16.12.2007, 00:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 10:33
Member

Themenstarter

Beiträge: 23
#3 Ok also : Textdatei von Combofix:
ComboFix 07-12-12.3 - hiby-asianowaa 2007-12-16 10:17:57.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.647 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-16 bis 2007-12-16 ))))))))))))))))))))))))))))))
.

2007-12-15 00:47 . 2007-12-15 00:47 268 --ah----- C:\sqmdata02.sqm
2007-12-15 00:47 . 2007-12-15 00:47 244 --ah----- C:\sqmnoopt04.sqm
2007-12-14 14:39 . 2007-12-14 14:39 <DIR> d-------- C:\Programme\Gravity
2007-12-07 15:25 . 2007-12-16 10:14 <DIR> d-------- C:\Programme\Arovax AntiSpyware
2007-12-07 15:25 . 2007-12-07 15:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Arovax
2007-12-05 12:53 . 2007-12-08 17:41 <DIR> d-------- C:\Programme\Valve
2007-12-02 08:53 . 2007-12-02 08:53 <DIR> d-------- C:\Programme\WoW-BurningCrusade-deDE-Slim-Installer
2007-11-30 15:21 . 2007-11-30 15:21 25 --a------ C:\WINDOWS\TDH_Launcher.ini
2007-11-30 15:07 . 2007-11-30 16:00 <DIR> d-------- C:\Mgame
2007-11-25 21:20 . 2007-12-01 14:40 <DIR> d-------- C:\Programme\Metin2_Germany
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Programme\MySpace
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\MySpace
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Programme\SopCast
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\SopCast
2007-11-22 12:06 . 2007-11-22 13:09 <DIR> d-------- C:\Programme\sXe Injected
2007-11-21 20:55 . 2007-12-03 15:58 <DIR> d-------- C:\Programme\Counter Strike 1.6 Reloaded

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-16 09:14 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\AVG7
2007-12-15 20:56 --------- d-----w C:\Programme\ICQToolbar
2007-12-14 13:43 65,536 ----a-w C:\WINDOWS\IFinst27.exe
2007-12-08 13:54 --------- d-----w C:\Programme\ICQ6
2007-11-30 14:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-18 16:01 --------- d-----w C:\Programme\Microsoft Games
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-03 15:54 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\Hamachi
2007-10-19 15:53 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\ICQ Toolbar
2006-12-10 20:37 52,736 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-11-01 18:26 382 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb1942.dat
2006-11-01 18:26 20,480 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb4827.dat
2006-11-01 18:26 151 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb2391.dat
2006-10-27 20:10 0 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb5436.dat
2006-10-26 09:02 562,760 ----a-w C:\Programme\QTPlugin.ocx
2006-10-26 09:01 5,580,360 ----a-w C:\Programme\QuickTimePlayer.exe
2006-10-25 18:38 712,704 ----a-w C:\Programme\QTOControl.dll
2006-10-25 18:38 675,840 ----a-w C:\Programme\QTOLibrary.dll
2006-10-25 18:38 598,016 ----a-w C:\Programme\QTInfo.exe
2006-10-25 18:38 303,104 ----a-w C:\Programme\QTUIPanelControl.dll
2006-10-25 18:17 483,328 ----a-w C:\Programme\PictureViewer.exe
2006-10-25 17:58 282,624 ----a-w C:\Programme\qttask.exe
2006-10-04 08:15 4,096 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\log.dat
2006-08-25 10:21 9,944 ----a-w C:\Programme\QuickTime Read Me.htm
2006-05-28 18:53 6,076 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\wklnhst.dat
2005-09-27 11:13 55,622 ----a-w C:\Programme\Sample.mov
2005-09-27 11:13 18,663 ----a-w C:\Programme\Sample.qtif
2005-01-29 10:47 962 ----a-w C:\Programme\INSTALL.LOG
2006-12-23 21:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006122320061224\index.dat
.

((((((((((((((((((((((((((((( snapshot_2007-12-13_20.24.12,60 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-13 19:04:22 1,804,508 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
+ 2007-12-15 22:22:37 2,087,604 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6430CCA7-032A-4EB0-BCFF-838998E73EF5}]
C:\WINDOWS\stream32a.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-02 08:37]
"Arovax AntiSpyware"="C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe" [2007-07-07 10:40]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Generic Host Process"="C:\WINDOWS\system32\scvvhost.exe" []
"QuickTime Task"="C:\Programme\qttask.exe" [2006-10-25 18:58]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-25 08:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Generic Host Process"="C:\WINDOWS\system32\scvvhost.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 08:48]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-08-14 01:04]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Metacafe.lnk - C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Programme\Metacafe\MetacafeAgent.exe [2006-11-02 14:10:59]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^Routenplaner Profi.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\Routenplaner Profi.lnk
backup=C:\WINDOWS\pss\Routenplaner Profi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2004-09-29 07:15 344064 --a------ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe /pause

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
2004-09-03 13:11 58488 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmonitor]
C:\Programme\SystemDoctor 2006 Free\startupmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host Process]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer]
C:\Program Files\Internet Optimizer\optimize.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JcEvjgn]
C:\WINDOWS\ekcejsi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Neuer Leon Ordner\hmm\MsgPlus.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWFX5U_0001_N57M1412]
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\leons musikordner\WinFixer2005ScannerInstallDE.exe -nag

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ReJf5vH]
2006-03-03 17:45 14848 --a------ C:\WINDOWS\tyaiu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 13:03 36975 --a------ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SurfAccuracy]
C:\Programme\SurfAccuracy\SAcc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe /r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
2004-09-21 22:57 33936 --a------ C:\Programme\Norton Internet Security\UrlLstCk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vgyabzcd]
C:\Program Files\Vqzg\Jmoxp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
c:\programme\zango\zango.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SymWSC"=2 (0x2)
"Symantec Core LC"=0 (0x0)
"SNDSrvc"=3 (0x3)
"SharedAccess"=0 (0x0)
"SENS"=2 (0x2)
"Nla"=0 (0x0)
"ISSVC"=2 (0x2)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"ccSetMgr"=0 (0x0)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=0 (0x0)

R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
S3 oUltraf;oUltraf;\??\C:\DOKUME~1\HIBY-A~1\LOKALE~1\Temp\oUltraf.sys
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
S3 wlags48d;Agere Wireless PCCard Service;C:\WINDOWS\system32\DRIVERS\wlags48d.sys
S3 XDva030;XDva030;\??\C:\WINDOWS\system32\XDva030.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7}]
\Shell\AutoRun\command - L:\OEMBranding.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-15 16:51:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 10:20:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-16 10:20:35
C:\ComboFix-quarantined-files.txt ... 2007-09-30 15:51
C:\ComboFix2.txt ... 2007-12-13 20:24
C:\ComboFix3.txt ... 2007-09-30 15:52
.
2007-12-13 13:09:38 --- E O F ---



Textdatei von Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:25:34, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Programme\Metacafe\MetacafeAgent.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\hijack\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Video - {6430CCA7-032A-4EB0-BCFF-838998E73EF5} - C:\WINDOWS\stream32a.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {7B0B549D-2EB3-4B56-8A29-B112ABECA310} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Arovax AntiSpyware] C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Neuer Leon Ordner\ragnraok\Gravity\RO\hamachi.exe
O4 - Startup: Metacafe.lnk = C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Programme\Metacafe\MetacafeAgent.exe
O4 - Global Startup: Metacafe.lnk = C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Programme\Metacafe\MetacafeAgent.exe
O8 - Extra context menu item: &woerterbuch.info Toolbar - Übersetzung - - res://C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Neuer Leon Ordner\Programme\woerte_13000_tb.dll/GoSEAR.dll.htm
O8 - Extra context menu item: &woerterbuch.info Toolbar -Synonym - - res://C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Neuer Leon Ordner\Programme\woerte_13000_tb.dll/Go2Sear.dll.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://www.powerchallenge.com/applet/PowerLoader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by114fd.bay114.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165134149859
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C71F44-09EE-4138-A18E-CDA91CD6B224}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Systemereignisbenachrichtigung (SENS) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)

--
End of file - 7571 bytes




Textdatei von datfind (letzte 3 Monate) :

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\system32

13.12.2007 14:08 387.268 TZLog.log
07.12.2007 12:20 399.740 perfh009.dat
07.12.2007 12:20 414.366 perfh007.dat
07.12.2007 12:20 61.678 perfc009.dat
07.12.2007 12:20 74.724 perfc007.dat
07.12.2007 12:20 961.426 PerfStringBackup.INI
03.12.2007 00:00 18.684.536 MRT.exe
13.11.2007 12:31 60.416 tzchange.exe
02.11.2007 13:57 107.888 CmdLineExt.dll
31.10.2007 00:19 3.590.656 mshtml.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:07 373.760 xpsp3res.dll
27.10.2007 13:10 2.278 wpa.dbl
25.10.2007 17:42 8.501.248 shell32.dll
25.10.2007 09:28 222.720 wmasf.dll
11.10.2007 00:46 232.960 webcheck.dll
11.10.2007 00:46 1.159.680 urlmon.dll
11.10.2007 00:46 824.832 wininet.dll
11.10.2007 00:46 671.232 mstime.dll
11.10.2007 00:46 105.984 url.dll
11.10.2007 00:46 102.400 occache.dll
11.10.2007 00:46 193.024 msrating.dll
11.10.2007 00:46 478.208 mshtmled.dll
11.10.2007 00:46 44.544 iernonce.dll
11.10.2007 00:46 267.776 iertutil.dll
11.10.2007 00:46 1.831.424 inetcpl.cpl
11.10.2007 00:46 52.224 msfeedsbs.dll
11.10.2007 00:46 27.648 jsproxy.dll
11.10.2007 00:46 6.065.664 ieframe.dll
11.10.2007 00:46 459.264 msfeeds.dll
11.10.2007 00:46 153.088 ieakeng.dll
11.10.2007 00:46 124.928 advpack.dll
11.10.2007 00:46 230.400 ieaksie.dll
11.10.2007 00:46 383.488 ieapfltr.dll
11.10.2007 00:46 384.512 iedkcs32.dll
11.10.2007 00:46 214.528 dxtrans.dll
11.10.2007 00:46 132.608 extmgr.dll
11.10.2007 00:46 63.488 icardie.dll
10.10.2007 11:59 13.824 ieudinit.exe
10.10.2007 11:59 70.656 ie4uinit.exe
10.10.2007 06:46 161.792 ieakui.dll
04.10.2007 07:44 3.932 ealregsnapshot1.reg


Hoffe das es nun einfacher ist mir zu helfen ;)
Seitenanfang Seitenende
16.12.2007, 11:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Video - {6430CCA7-032A-4EB0-BCFF-838998E73EF5} - C:\WINDOWS\stream32a.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {7B0B549D-2EB3-4B56-8A29-B112ABECA310} - (no file)
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Avenger
Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken “ Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\scvvhost.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

Smitfraudfix
Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen

Du wirst dann gefragt: Do you want to clean the registry? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen.
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

Wenn dein rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus
Kopiere den Inhalt des Berichts in diesen Thread (C:\rapport.txt )

Scanne mit AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Edit

ViruTotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal

C:\WINDOWS\tyaiu.exe

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
Stand alone DrWeb
Stand alone Kaspersky


Entferne von C:\combofix.txt)
Und poste ein neues log von ComboFix
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 12:48
Member

Themenstarter

Beiträge: 23
#5 Danke für die ausführliche Antwort !
Das neue Combofix Textlog ist :
ComboFix 07-12-12.3 - hiby-asianowaa 2007-12-16 12:42:41.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.659 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-16 bis 2007-12-16 ))))))))))))))))))))))))))))))
.

2007-12-16 12:31 . 2007-12-16 12:31 1,488 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-16 12:30 . 2007-12-16 12:35 <DIR> d-------- C:\SmitfraudFix
2007-12-16 12:26 . 2007-12-16 12:06 1,125,659 --a------ C:\SmitfraudFix.exe
2007-12-16 12:15 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-16 12:15 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-16 12:15 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-16 12:15 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-16 12:15 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-16 12:15 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-15 00:47 . 2007-12-15 00:47 268 --ah----- C:\sqmdata02.sqm
2007-12-15 00:47 . 2007-12-15 00:47 244 --ah----- C:\sqmnoopt04.sqm
2007-12-14 14:39 . 2007-12-14 14:39 <DIR> d-------- C:\Programme\Gravity
2007-12-07 15:25 . 2007-12-16 12:37 <DIR> d-------- C:\Programme\Arovax AntiSpyware
2007-12-07 15:25 . 2007-12-07 15:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Arovax
2007-12-05 12:53 . 2007-12-08 17:41 <DIR> d-------- C:\Programme\Valve
2007-12-02 08:53 . 2007-12-02 08:53 <DIR> d-------- C:\Programme\WoW-BurningCrusade-deDE-Slim-Installer
2007-11-30 15:21 . 2007-11-30 15:21 25 --a------ C:\WINDOWS\TDH_Launcher.ini
2007-11-30 15:07 . 2007-11-30 16:00 <DIR> d-------- C:\Mgame
2007-11-25 21:20 . 2007-12-01 14:40 <DIR> d-------- C:\Programme\Metin2_Germany
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Programme\MySpace
2007-11-23 22:59 . 2007-11-23 22:59 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\MySpace
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Programme\SopCast
2007-11-23 20:48 . 2007-11-23 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\SopCast
2007-11-22 12:06 . 2007-11-22 13:09 <DIR> d-------- C:\Programme\sXe Injected
2007-11-21 20:55 . 2007-12-03 15:58 <DIR> d-------- C:\Programme\Counter Strike 1.6 Reloaded

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-16 09:21 --------- d-----w C:\Programme\ICQToolbar
2007-12-16 09:14 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\AVG7
2007-12-14 13:43 65,536 ----a-w C:\WINDOWS\IFinst27.exe
2007-12-08 13:54 --------- d-----w C:\Programme\ICQ6
2007-11-30 14:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-18 16:01 --------- d-----w C:\Programme\Microsoft Games
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-03 15:54 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\Hamachi
2007-11-02 12:57 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-19 15:53 --------- d-----w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\ICQ Toolbar
2007-10-04 06:44 3,932 ----a-w C:\WINDOWS\system32\ealregsnapshot1.reg
2006-12-10 20:37 52,736 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-11-01 18:26 382 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb1942.dat
2006-11-01 18:26 20,480 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb4827.dat
2006-11-01 18:26 151 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb2391.dat
2006-10-27 20:10 0 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\internaldb5436.dat
2006-10-26 09:02 562,760 ----a-w C:\Programme\QTPlugin.ocx
2006-10-26 09:01 5,580,360 ----a-w C:\Programme\QuickTimePlayer.exe
2006-10-25 18:38 712,704 ----a-w C:\Programme\QTOControl.dll
2006-10-25 18:38 675,840 ----a-w C:\Programme\QTOLibrary.dll
2006-10-25 18:38 598,016 ----a-w C:\Programme\QTInfo.exe
2006-10-25 18:38 303,104 ----a-w C:\Programme\QTUIPanelControl.dll
2006-10-25 18:17 483,328 ----a-w C:\Programme\PictureViewer.exe
2006-10-25 17:58 282,624 ----a-w C:\Programme\qttask.exe
2006-10-04 08:15 4,096 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\log.dat
2006-08-25 10:21 9,944 ----a-w C:\Programme\QuickTime Read Me.htm
2006-05-28 18:53 6,076 ----a-w C:\Dokumente und Einstellungen\hiby-asianowaa\Anwendungsdaten\wklnhst.dat
2005-09-27 11:13 55,622 ----a-w C:\Programme\Sample.mov
2005-09-27 11:13 18,663 ----a-w C:\Programme\Sample.qtif
2005-01-29 10:47 962 ----a-w C:\Programme\INSTALL.LOG
2006-12-23 21:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006122320061224\index.dat
.

((((((((((((((((((((((((((((( snapshot_2007-12-13_20.24.12,60 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-13 19:04:22 1,804,508 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
+ 2007-12-15 22:22:37 2,087,604 ----a-w C:\WINDOWS\system32\Restore\rstrlog.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-02 08:37]
"Arovax AntiSpyware"="C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe" [2007-07-07 10:40]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\qttask.exe" [2006-10-25 18:58]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-25 08:48]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 13:00]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 08:48]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-08-14 01:04]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Metacafe.lnk - C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Programme\Metacafe\MetacafeAgent.exe [2006-11-02 14:10:59]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^MetaCafe.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\MetaCafe.lnk
backup=C:\WINDOWS\pss\MetaCafe.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^hiby-asianowaa^Startmenü^Programme^Autostart^Routenplaner Profi.lnk]
path=C:\Dokumente und Einstellungen\hiby-asianowaa\Startmenü\Programme\Autostart\Routenplaner Profi.lnk
backup=C:\WINDOWS\pss\Routenplaner Profi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2004-09-29 07:15 344064 --a------ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe /pause

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
2004-09-03 13:11 58488 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmonitor]
C:\Programme\SystemDoctor 2006 Free\startupmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host Process]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer]
C:\Program Files\Internet Optimizer\optimize.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JcEvjgn]
C:\WINDOWS\ekcejsi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\Neuer Leon Ordner\hmm\MsgPlus.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWFX5U_0001_N57M1412]
C:\Dokumente und Einstellungen\hiby-asianowaa\Desktop\leons musikordner\WinFixer2005ScannerInstallDE.exe -nag

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ReJf5vH]
2006-03-03 17:45 14848 --a------ C:\WINDOWS\tyaiu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
C:\WINDOWS\system32\scvvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 13:03 36975 --a------ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SurfAccuracy]
C:\Programme\SurfAccuracy\SAcc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe /r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
2004-09-21 22:57 33936 --a------ C:\Programme\Norton Internet Security\UrlLstCk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vgyabzcd]
C:\Program Files\Vqzg\Jmoxp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
c:\programme\zango\zango.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SymWSC"=2 (0x2)
"Symantec Core LC"=0 (0x0)
"SNDSrvc"=3 (0x3)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"Nla"=0 (0x0)
"ISSVC"=2 (0x2)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"ccSetMgr"=0 (0x0)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=0 (0x0)

R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
S3 oUltraf;oUltraf;\??\C:\DOKUME~1\HIBY-A~1\LOKALE~1\Temp\oUltraf.sys
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
S3 wlags48d;Agere Wireless PCCard Service;C:\WINDOWS\system32\DRIVERS\wlags48d.sys
S3 XDva030;XDva030;\??\C:\WINDOWS\system32\XDva030.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7}]
\Shell\AutoRun\command - L:\OEMBranding.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-15 16:51:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 12:44:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-16 12:45:23
C:\ComboFix-quarantined-files.txt ... 2007-09-30 15:51
.
2007-12-13 13:09:38 --- E O F ---




Aber komischerweise ist mein Internet immer noch so langsam. Wieso das ?
Seitenanfang Seitenende
16.12.2007, 12:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Warst du auch bei ViruTotal? und wo ist C:\rapport.txt von Smidfraud?
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 13:08
Member

Themenstarter

Beiträge: 23
#7 achso hab ich vergessen. textlog von rapport ist:

SmitFraudFix v2.269

Scan done at 12:31:16,51, 16.12.2007
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\DOKUME~1\HIBY-A~1\FAVORI~1\Online Security Test.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Wie komme ich denn zu ViruTotal?
Seitenanfang Seitenende
16.12.2007, 13:11
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Auf das blaue klicken VirusTotal

Und kopiere rein C:\WINDOWS\tyaiu.exe
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 13:23
Member

Themenstarter

Beiträge: 23
#9 also das ergebnis von VirusTotal ist:

AhnLab-V3 2007.12.15.10 2007.12.14 -
AntiVir 7.6.0.45 2007.12.14 ADSPY/SurfAccuracy.G.1
Authentium 4.93.8 2007.12.16 -
Avast 4.7.1098.0 2007.12.15 -
AVG 7.5.0.503 2007.12.15 Adware Generic.LLC
BitDefender 7.2 2007.12.16 Adware.Surfaccuracy.G
CAT-QuickHeal 9.00 2007.12.15 AdWare.SurfAccuracy.g (Not a Virus)
ClamAV 0.91.2 2007.12.16 -
DrWeb 4.44.0.09170 2007.12.16 Adware.SurfAcc
eSafe 7.0.15.0 2007.12.13 suspicious Trojan/Worm
eTrust-Vet 31.3.5375 2007.12.14 -
Ewido 4.0 2007.12.15 Adware.SurfAccuracy
FileAdvisor 1 2007.12.16 -
Fortinet 3.14.0.0 2007.12.16 Adware/SurfAccuracy
F-Prot 4.4.2.54 2007.12.16 -
F-Secure 6.70.13030.0 2007.12.16 -
Ikarus T3.1.1.15 2007.12.16 AdWare.SurfAccuracy.B
Kaspersky 7.0.0.125 2007.12.16 not-a-virus:AdWare.Win32.SurfAccuracy.g
McAfee 5186 2007.12.14 potentially unwanted program Adware-SurfAccuracy
Microsoft 1.3109 2007.12.16 Adware:Win32/SurfAccuracy
NOD32v2 2723 2007.12.14 a variant of Win32/Adware.SurfAccuracy
Norman 5.80.02 2007.12.13 W32/SurfAccuracy.AQ
Panda 9.0.0.4 2007.12.15 Adware/SurfAccuracy
Prevx1 V2 2007.12.16 Generic.Malware
Rising 20.22.41.00 2007.12.14 -
Sophos 4.24.0 2007.12.15 -
Sunbelt 2.2.907.0 2007.12.15 SurfAccuracy
Symantec 10 2007.12.15 Adware.SurfAccuracy
TheHacker 6.2.9.160 2007.12.14 Adware/SurfAccuracy.g
VBA32 3.12.2.5 2007.12.14 AdWare.Win32.SurfAccuracy.g
VirusBuster 4.3.26:9 2007.12.16 -
Webwasher-Gateway 6.6.2 2007.12.16 Ad-Spyware.SurfAccuracy.G.1
Seitenanfang Seitenende
16.12.2007, 13:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Ich muss mich eben fuer ein par Stunden abmelden.habe besuch
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 14:09
Member

Themenstarter

Beiträge: 23
#11 ok wäre nett wen du mir dann antworten würdest
Seitenanfang Seitenende
16.12.2007, 14:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Download CounterSpyV2.0 zum Desktop
und dopplelklick um das Program zu installieren
CounterSpy wird geupdatet
Klicke: " System scan "
Nach dem Scan muss man sich entscheiden für: * Remove --> Status: Deleted
Nur für Windows XP(32bit) - Windows Vista (32bit) - Windows 2000 (SP3+)
Note
CounterSpy hat den Nachteil --> es will sich stets updaten
Wenn man CS startet:
Would you like to enable Automatic Updates? Wähle --> No
Would you like to enable Active Protection? Wähle --> No
Would you like to join ThreatNet? Wähle --> Yes
Häckchen entfernen bei --> Recommended
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 19:43
Member

Themenstarter

Beiträge: 23
#13 Bin gerade am scannen. Aber komischeweise steht oben am Fenster :
CounterSpy - *Not activated*
Seitenanfang Seitenende
16.12.2007, 19:54
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Wurde Counterspy vielleicht schon benutzt?
__________
MfG Argus
Seitenanfang Seitenende
16.12.2007, 20:04
Member

Themenstarter

Beiträge: 23
#15 Hm nein.
Bin jetzt fretig mit dem scannen,habe die gefundenen Daten gelöscht.
Aber mein Internet ist immer noch sehr viel langsamer als sonst.
Seitenanfang Seitenende