Home » Viren, Trojaner & Malware Forum » Adware (RougeAntiSpyware.SpySgredder) » Themenansicht

Adware (RougeAntiSpyware.SpySgredder)
#0
30.12.2007, 13:00
MisterDiLong
...neu hier

Beiträge: 8
#1 also imma nach dem anmlden seh ich eine minute meinen dektop dann öffnet sich ein fenster das so aufgebaut is wie vom security center (dort steht das man sich eine lizens kaufn soll damit der pc wieder freigeschaltete wird) aba das es ist nicht davon das fenster kann man zwar mit Strg+W schließen aba darunter is noch ein wo ein button "Fix Problem" ist wenn man auf diesen drückt kommt man zurück zur der ersten seite beide sind so aufgebaut das man nichts vom destop sieht und man hat auch keine taskleiste ich habe schon einen scan mit smitfraudfix gemacht


SmitFraudFix v2.274

Scan done at 12:44:55,34, So 30.12.2007
Run from C:\Dokumente und Einstellungen\Dillon\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\ICQ5.1\ICQLite.exe
C:\WINNT\UMStor\Res.EXE
C:\WINNT\locker.exe
D:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Spyware Doctor\svcntaux.exe
D:\Programme\Spyware Doctor\swdsvc.exe
C:\WINNT\wl.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINNT\system32\wdfmgr.exe
C:\WINNT\System32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\system32\wscntfy.exe
D:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Dillon


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Dillon\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Dillon\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: ULi PCI Fast Ethernet Controller
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7AB12262-C3E0-4EF9-BE6A-78DD10A66E76}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{908DA0B6-77A2-4D0E-A7C4-1CF0D64A5228}: DhcpNameServer=85.255.114.27,85.255.112.89
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7AB12262-C3E0-4EF9-BE6A-78DD10A66E76}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{908DA0B6-77A2-4D0E-A7C4-1CF0D64A5228}: DhcpNameServer=85.255.114.27,85.255.112.89
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7AB12262-C3E0-4EF9-BE6A-78DD10A66E76}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{908DA0B6-77A2-4D0E-A7C4-1CF0D64A5228}: DhcpNameServer=85.255.114.27,85.255.112.89
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.27 85.255.112.89
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.27 85.255.112.89
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.114.27 85.255.112.89


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


bitte helft XD

ps: ich kann nur hiermit arbeiten wenn ich eine datencd einleg wenn ich nämlich dann auf "als ordner öffnen" geh kann ich eben so alles machen anders geht nichts
Seitenanfang Seitenende
30.12.2007, 13:39
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo MisterDiLong

deaktiviere C:\WINNT\locker.exe

------------------------------------------------------------

kannst du Combofix anwenden ?
http://www.virus-protect.org/artikel/tools/combofix.html

und hijacktHis ?
http://www.virus-protect.org/hjtkurz.html

fixwareout hilft auch weiter....
http://www.virus-protect.org/artikel/tools/fixwareout.html

doch brauche ich das log vom HijackThis, um die falsche Internetverbindung fixen zu koennen ...85.255.114.27 85.255.112.89

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Dieser Beitrag wurde am 30.12.2007 um 13:45 Uhr von Pinguin editiert.
Seitenanfang Seitenende
30.12.2007, 15:04
MisterDiLong
...neu hier

Themenstarter

Beiträge: 8
#3 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04:03, on 30.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programme\ICQ5.1\ICQLite.exe
C:\WINNT\UMStor\Res.EXE
D:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINNT\system32\internat.exe
D:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Spyware Doctor\svcntaux.exe
D:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINNT\system32\wdfmgr.exe
C:\WINNT\System32\wbem\wmiprvse.exe
C:\WINNT\system32\wscntfy.exe
C:\WINNT\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\Programme\ICQ5.1\ICQLite.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQ5.1\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\WINNT\UMStor\Res.EXE
O4 - HKLM\..\Run: [License] locker.exe
O4 - HKLM\..\Run: [SDTray] "D:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008 (made by Fares)\MemOptimizer.exe" autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ5.1\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = D:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.27 85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.27 85.255.112.89
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TuneUp Drive Defrag-Dienst (Beta) (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINNT\System32\TuneUpDefragService.exe

--
End of file - 7346 bytes
Seitenanfang Seitenende
30.12.2007, 15:24
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 hijackThis
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked"

damit wird auch deine Internetverbindung (die korumpiert ist) geloescht...du musst nach Neustart (fixwareout wird den Rechner booten... ) eine neue erstellen

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

O4 - HKLM\..\Run: [License] locker.exe

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.27 85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.27 85.255.112.89
fixwareout
http://www.virus-protect.org/artikel/tools/fixwareout.html
wende das an - poste den scanreport
+
das neue Log vom HijackThis
+
die Daten der letzten 2 monate von jedem log
http://www.virus-protect.org/datfindbat.html
+
das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

denn die Viren sind noch drauf - poste also die Logs, damit wir sie definitiv löschen können....

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Dieser Beitrag wurde am 30.12.2007 um 15:28 Uhr von Pinguin editiert.
Seitenanfang Seitenende
30.12.2007, 16:22
MisterDiLong
...neu hier

Themenstarter

Beiträge: 8
#5 fixware:

Username "Dillon" - 2007-12-30 16:07:48 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{908DA0B6-77A2-4D0E-A7C4-1CF0D64A5228}
"DhcpNameServer"="85.255.114.27,85.255.112.89" <Value cleared.

Der DNS-Auflösungscache wurde geleert.
System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SoundMan"="SOUNDMAN.EXE"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"Adobe Reader Speed Launcher"="\"D:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"QuickTime Task"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ICQ Lite"="\"D:\\Programme\\ICQ5.1\\ICQLite.exe\" -minimize"
"USB Storage Toolbox"="C:\\WINNT\\UMStor\\Res.EXE"
"SDTray"="\"D:\\Programme\\Spyware Doctor\\SDTrayApp.exe\""
"SpywareTerminator"="\"C:\\Programme\\Spyware Terminator\\SpywareTerminatorShield.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2008 (made by Fares)\\MemOptimizer.exe\" autostart"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13, on 2007-12-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINNT\system32\wdfmgr.exe
C:\WINNT\System32\alg.exe
C:\WINNT\system32\wscntfy.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINNT\UMStor\Res.EXE
C:\WINNT\system32\internat.exe
D:\Programme\Last.fm\LastFMHelper.exe
C:\WINNT\System32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQ5.1\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\WINNT\UMStor\Res.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008 (made by Fares)\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = D:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ5.1\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TuneUp Drive Defrag-Dienst (Beta) (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINNT\System32\TuneUpDefragService.exe

--
End of file - 6414 bytes

die daten der letzten 2 monate von jedem log :

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C836-5380

Verzeichnis von C:\WINNT\system32

30.12.2007 12:45 0 tmp.txt
30.12.2007 12:45 3.128 tmp.reg
28.12.2007 02:50 103.824 FNTCACHE.DAT
20.12.2007 23:11 81.920 IEDFix.exe
18.12.2007 13:50 2.206 wpa.dbl
13.12.2007 21:26 156.160 swreg.exe
11.12.2007 23:35 4.816 divxsm.tlb
11.12.2007 23:35 524.288 DivXsm.exe
11.12.2007 23:35 10.152 dsm_de.qm
11.12.2007 23:34 3.596.288 qt-dx331.dll
11.12.2007 23:34 72.440 pxhpinst.exe
11.12.2007 23:34 187.128 pxmas.dll
11.12.2007 23:34 118.520 pxinsi64.exe
11.12.2007 23:34 379.640 pxwave.dll
11.12.2007 23:34 120.056 pxcpyi64.exe
11.12.2007 23:34 66.296 pxcpya64.exe
11.12.2007 23:34 518.904 pxdrv.dll
11.12.2007 23:34 1.628.920 pxsfs.dll
11.12.2007 23:34 551.672 px.dll
11.12.2007 23:34 129.784 pxafs.dll
11.12.2007 23:34 88.824 vxblock.dll
11.12.2007 23:34 64.760 pxinsa64.exe
11.12.2007 23:34 200.704 ssldivx.dll
11.12.2007 23:34 1.044.480 libdivx.dll
11.12.2007 23:33 81.920 dpl100.dll
11.12.2007 23:33 416 dpl100.dll.manifest
11.12.2007 23:33 196.608 dtu100.dll
11.12.2007 23:33 416 dtu100.dll.manifest
11.12.2007 23:33 53.248 dpuGUI10.dll
11.12.2007 23:33 294.912 dpu10.dll
11.12.2007 23:33 344.064 dpus11.dll
11.12.2007 23:33 593.920 dpuGUI11.dll
11.12.2007 23:33 294.912 dpu11.dll
11.12.2007 23:33 57.344 dpv11.dll
11.12.2007 23:33 682.496 DivX.dll
11.12.2007 23:33 802.816 divx_xx11.dll
11.12.2007 23:33 823.296 divx_xx0c.dll
11.12.2007 23:33 823.296 divx_xx07.dll
11.12.2007 23:33 630.784 divxdec.ax
11.12.2007 23:32 352.401 DivXMedia.ax
11.12.2007 23:32 156.992 DivXCodecVersionChecker.exe
11.12.2007 23:32 12.288 DivXWMPExtType.dll
11.12.2007 23:32 8.523 dpude.qm
11.12.2007 23:32 3.136 dtu_de.qm
06.12.2007 15:55 291.328 TuneUpDefragService.exe
06.12.2007 15:39 29.952 uxtuneup.dll
01.12.2007 08:05 566 PerfStringBackup.INI
01.12.2007 08:05 120 perfc007.dat
01.12.2007 08:05 0 perfh007.dat
01.12.2007 08:05 0 perfc009.dat
30.11.2007 22:33 397.692 perfh009.dat
24.10.2007 12:34 5.686 jupdate-1.6.0_03-b05.log
18.10.2007 20:08 2.323.072 TUKernel.exe
03.10.2007 23:36 25.600 WS2Fix.exe

Combofix:

ComboFix 07-12-21.4 - Dillon 2007-12-30 16:17:34.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.192 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dillon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G7UZ4LC3\ComboFix[1].exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-28 bis 2007-12-30 ))))))))))))))))))))))))))))))
.

2007-12-30 15:38 . 2007-12-26 21:25 1,000 --a------ C:\datFind.bat
2007-12-30 14:53 . 2007-12-30 14:53 <DIR> d-------- C:\Programme\Trend Micro
2007-12-30 12:27 . 2007-12-30 12:45 3,128 --a------ C:\WINNT\system32\tmp.reg
2007-12-30 12:26 . 2007-09-05 23:22 289,144 --a------ C:\WINNT\system32\VCCLSID.exe
2007-12-30 12:26 . 2006-04-27 16:49 288,417 --a------ C:\WINNT\system32\SrchSTS.exe
2007-12-30 12:26 . 2007-12-20 23:11 81,920 --a------ C:\WINNT\system32\IEDFix.exe
2007-12-30 12:26 . 2003-06-05 20:13 53,248 --a------ C:\WINNT\system32\Process.exe
2007-12-30 12:26 . 2004-07-31 17:50 51,200 --a------ C:\WINNT\system32\dumphive.exe
2007-12-30 12:26 . 2007-10-03 23:36 25,600 --a------ C:\WINNT\system32\WS2Fix.exe
2007-12-29 23:56 . 2007-12-29 23:56 138,624 --a------ C:\WINNT\system32\drivers\sp_rsdrv2.sys
2007-12-29 23:23 . 2007-12-30 00:00 <DIR> d-------- C:\Programme\Spyware Terminator
2007-12-29 23:23 . 2007-12-30 01:38 <DIR> d-------- C:\Programme\Crawler
2007-12-29 23:23 . 2007-12-29 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2007-12-29 21:38 . 2007-12-29 21:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-29 21:37 . 2007-12-29 21:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-29 21:22 . 2007-12-29 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\PC Tools
2007-12-29 21:22 . 2007-12-29 21:46 74,240 --a------ C:\WINNT\system32\drivers\iksyssec.sys
2007-12-29 21:22 . 2007-12-29 21:46 56,832 --a------ C:\WINNT\system32\drivers\iksysflt.sys
2007-12-29 21:22 . 2007-10-18 00:14 41,288 --a------ C:\WINNT\system32\drivers\ikfilesec.sys
2007-12-29 21:22 . 2007-10-18 00:16 29,000 --a------ C:\WINNT\system32\drivers\kcom.sys
2007-12-29 21:21 . 2005-09-23 08:29 626,688 --a------ C:\WINNT\system32\msvcr80.dll
2007-12-29 21:21 . 2005-07-06 18:13 499,712 --a------ C:\WINNT\system32\msvcp71.dll
2007-12-29 12:09 . 2007-12-29 12:09 <DIR> d-------- C:\Programme\NCH Software
2007-12-29 12:08 . 2007-12-29 16:20 <DIR> d-------- C:\Programme\NCH Swift Sound
2007-12-29 12:08 . 2007-12-29 12:08 <DIR> d-------- C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\NCH Swift Sound
2007-12-29 11:41 . 2007-12-30 12:16 54,156 --ah----- C:\WINNT\QTFont.qfn
2007-12-29 11:41 . 2007-12-29 11:41 1,409 --a------ C:\WINNT\QTFont.for
2007-12-27 15:48 . 2001-09-30 19:10 246,784 --a------ C:\WINNT\system32\ActiveSkin.ocx
2007-12-27 15:48 . 2001-05-24 12:59 162,304 --a------ C:\UNWISE.EXE
2007-12-27 15:48 . 2002-01-18 18:12 112 --a------ C:\WINNT\ActiveSkin.INI
2007-12-23 22:11 . 2007-12-29 12:03 <DIR> d-------- C:\Program Files
2007-12-23 21:53 . 2007-12-23 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\DivX
2007-12-19 15:52 . 2007-12-19 15:52 221,184 --a------ C:\WINNT\locker.exe
2007-12-19 15:19 . 2007-12-19 15:19 38,400 --a------ C:\WINNT\wl.exe
2007-12-19 15:13 . 2007-12-19 15:13 73,216 --a------ C:\WINNT\WinLockDll.dll
2007-12-19 13:20 . 2007-12-19 13:20 2 --a------ C:\WINNT\uid.tmp
2007-12-18 17:39 . 2007-12-18 17:39 <DIR> d-------- C:\WINNT\system32\URTTEMP
2007-12-17 13:52 . 2007-12-18 14:12 <DIR> d-------- C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\teamspeak2
2007-12-14 17:20 . 2007-12-21 15:00 <DIR> d-------- C:\Programme\Norton Security Scan
2007-12-11 23:35 . 2007-12-11 23:35 524,288 --a------ C:\WINNT\system32\DivXsm.exe
2007-12-11 23:35 . 2007-12-11 23:35 10,152 --a------ C:\WINNT\system32\dsm_de.qm
2007-12-11 23:35 . 2007-12-11 23:35 4,816 --a------ C:\WINNT\system32\divxsm.tlb
2007-12-11 23:34 . 2007-12-11 23:34 3,596,288 --a------ C:\WINNT\system32\qt-dx331.dll
2007-12-11 23:34 . 2007-12-11 23:34 1,044,480 --a------ C:\WINNT\system32\libdivx.dll
2007-12-11 23:34 . 2007-12-11 23:34 200,704 --a------ C:\WINNT\system32\ssldivx.dll
2007-12-11 23:32 . 2007-12-11 23:32 352,401 --a------ C:\WINNT\system32\DivXMedia.ax
2007-12-11 23:32 . 2007-12-11 23:32 156,992 --a------ C:\WINNT\system32\DivXCodecVersionChecker.exe
2007-12-11 23:32 . 2007-12-11 23:32 12,288 --a------ C:\WINNT\system32\DivXWMPExtType.dll
2007-12-11 23:32 . 2007-12-11 23:32 8,523 --a------ C:\WINNT\system32\dpude.qm
2007-12-11 23:32 . 2007-12-11 23:32 3,136 --a------ C:\WINNT\system32\dtu_de.qm
2007-12-06 19:10 . 2007-12-06 15:39 29,952 --a------ C:\WINNT\system32\uxtuneup.dll
2007-12-06 15:55 . 2007-12-06 15:55 291,328 --a------ C:\WINNT\system32\TuneUpDefragService.exe
2007-12-06 15:39 . 2007-12-06 15:39 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 (made by Fares)
2007-12-01 08:32 . 2007-12-01 08:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-11-29 21:53 . 2007-12-01 12:09 <DIR> d-------- C:\Programme\OpenSource OGG Splitter
2007-11-29 21:53 . 2006-12-10 23:32 348,160 --a------ C:\WINNT\system32\msvcr71.dll
2007-11-28 17:26 . 2007-11-28 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-11-21 14:02 . 2007-11-21 14:02 119 --a------ C:\DelUS.bat
2007-11-17 14:17 . 2007-11-17 14:17 <DIR> d--h----- C:\WINNT\PIF
2007-11-14 22:07 . 2007-11-14 22:07 528 -r-hs---- C:\WINNT\PCGWIN32.LI4
2007-11-14 21:46 . 2007-12-30 16:12 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-14 21:24 . 2007-11-14 21:24 89 --a------ C:\WINNT\vpetting.ini
2007-11-14 14:30 . 1997-01-16 00:00 71,680 --a------ C:\WINNT\ST5UNST.EXE
2007-11-14 14:30 . 1997-01-16 00:00 29,696 --a------ C:\WINNT\system32\VB5StKit.dll
2007-11-14 14:07 . 2007-11-14 14:09 12 --a------ C:\WINNT\screenmx.ini
2007-11-12 19:15 . 2007-11-19 19:35 <DIR> d-------- C:\Programme\ICQ
2007-11-12 18:29 . 2007-11-12 19:15 <DIR> d-------- C:\WINNT\aod
2007-11-12 17:55 . 2007-11-15 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\ICQ
2007-11-12 17:54 . 2007-11-12 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 22:32 --------- d-----w C:\Programme\DAEMON Tools
2007-12-29 11:56 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-11 22:34 9,464 ------w C:\WINNT\system32\drivers\cdralw2k.sys
2007-12-11 22:34 9,336 ------w C:\WINNT\system32\drivers\cdr4_xp.sys
2007-12-11 22:34 43,528 ------w C:\WINNT\system32\drivers\PxHelp20.sys
2007-12-11 22:34 129,784 ------w C:\WINNT\system32\pxafs.dll
2007-12-11 22:34 120,056 ------w C:\WINNT\system32\pxcpyi64.exe
2007-12-11 22:34 118,520 ------w C:\WINNT\system32\pxinsi64.exe
2007-12-11 22:33 823,296 ----a-w C:\WINNT\system32\divx_xx0c.dll
2007-12-11 22:33 823,296 ----a-w C:\WINNT\system32\divx_xx07.dll
2007-12-11 22:33 81,920 ----a-w C:\WINNT\system32\dpl100.dll
2007-12-11 22:33 802,816 ----a-w C:\WINNT\system32\divx_xx11.dll
2007-12-11 22:33 682,496 ----a-w C:\WINNT\system32\DivX.dll
2007-12-11 22:33 593,920 ----a-w C:\WINNT\system32\dpuGUI11.dll
2007-12-11 22:33 57,344 ----a-w C:\WINNT\system32\dpv11.dll
2007-12-11 22:33 53,248 ----a-w C:\WINNT\system32\dpuGUI10.dll
2007-12-11 22:33 344,064 ----a-w C:\WINNT\system32\dpus11.dll
2007-12-11 22:33 294,912 ----a-w C:\WINNT\system32\dpu11.dll
2007-12-11 22:33 294,912 ----a-w C:\WINNT\system32\dpu10.dll
2007-12-11 22:33 196,608 ----a-w C:\WINNT\system32\dtu100.dll
2007-11-12 18:15 841 ----a-w C:\Programme\INSTALL.LOG
2007-11-12 16:56 --------- d-----w C:\Programme\ICQLite
2007-11-03 11:46 --------- d-----w C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\uTorrent
2007-11-01 12:36 313 -c--a-w C:\Programme\settings.ini
2007-10-31 13:00 --------- d-----w C:\Dokumente und Einstellungen\Dillon\Anwendungsdaten\Apple Computer
2007-10-18 19:08 2,323,072 ----a-w C:\WINNT\system32\TUKernel.exe
2006-12-12 19:18 271 --sh--w C:\Programme\desktop.ini
2006-12-12 19:18 22,080 -c-ha-w C:\Programme\folder.htt
2005-12-04 21:39 600,576 ----a-w C:\Programme\ICQtoolz.exe
2004-07-22 08:51 3,432,656 -c--a-w C:\Programme\ManagedDX.CAB
2004-07-19 20:58 1,156,363 -c--a-w C:\Programme\BDANT.cab
2004-07-19 20:53 976,020 -c--a-w C:\Programme\BDAXP.cab
2004-07-09 12:17 13,265,040 -c--a-w C:\Programme\dxnt.cab
2004-07-09 07:13 703,080 -c--a-w C:\Programme\BDA.cab
2004-07-09 07:13 15,493,481 -c--a-w C:\Programme\DirectX.cab
2004-07-09 02:08 472,576 ----a-w C:\Programme\dxsetup.exe
2004-07-09 02:08 2,242,560 ----a-w C:\Programme\dsetup32.dll
2004-07-09 01:03 62,976 ----a-w C:\Programme\DSETUP.dll
2006-05-03 09:06 163,328 --sh--r C:\WINNT\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINNT\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 12:00 C:\WINNT\system32\internat.exe]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008 (made by Fares)\MemOptimizer.exe" [2007-12-06 15:39]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2004-08-04 00:58 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 20:05]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 C:\WINNT\SOUNDMAN.EXE]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 17:35]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 11:48]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]
"ICQ Lite"="D:\Programme\ICQ5.1\ICQLite.exe" [2006-07-11 11:15]
"USB Storage Toolbox"="C:\WINNT\UMStor\Res.EXE" [2005-09-14 19:44]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2007-12-29 23:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 12:00 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2004-08-04 00:57]
"tscuninstall"="C:\WINNT\system32\tscupgrd.exe" [2004-08-04 00:38]

C:\Dokumente und Einstellungen\Dillon\Startmen\Programme\Autostart\
Last.fm Helper.lnk - D:\Programme\Last.fm\LastFMHelper.exe [2007-11-28 17:22:01]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINNT\\system32\\logonui.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [2007-09-09 19:51]
R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINNT\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [2007-09-09 19:51]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINNT\system32\drivers\sp_rsdrv2.sys [2007-12-29 23:56]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINNT\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]
S2 UxTuneUp;TuneUp Designerweiterung (Beta);C:\WINNT\System32\svchost.exe -k netsvcs []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst (Beta);C:\WINNT\System32\TuneUpDefragService.exe [2007-12-06 15:55]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-12-28 19:00:02 C:\WINNT\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008 (made by Fares)\SystemOptimizer.exe
"2007-12-28 00:19:48 C:\WINNT\Tasks\AppleSoftwareUpdate.job"
"2007-12-21 15:02:26 C:\WINNT\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-30 16:18:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-30 16:18:43
Seitenanfang Seitenende
30.12.2007, 16:46
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 Hi,

lade diese exe hoch - und poste hier die Reporte
http://www.virustotal.com/de/

C:\WINNT\locker.exe
C:\WINNT\wl.exe
C:\WINNT\WinLockDll.dll

--

scanne und poste den Report

gromozon rootkit - Catchme.exe
http://www.virus-protect.org/catchme.html



Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.12.2007, 16:53
MisterDiLong
...neu hier

Themenstarter

Beiträge: 8
#7 ich muss gehen bin so gegen 7 wieder da wenn nicht morgen okay?
Seitenanfang Seitenende
30.12.2007, 17:16
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 in Ordnung - bis morgen ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
30.12.2007, 21:10
MisterDiLong
...neu hier

Themenstarter

Beiträge: 8
#9 locker.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.29.11 2007.12.29 -
AntiVir 7.6.0.46 2007.12.30 -
Authentium 4.93.8 2007.12.30 -
Avast 4.7.1098.0 2007.12.30 -
AVG 7.5.0.516 2007.12.30 SHeur.AIIZ
BitDefender 7.2 2007.12.30 -
CAT-QuickHeal 9.00 2007.12.29 -
ClamAV 0.91.2 2007.12.30 -
DrWeb 4.44.0.09170 2007.12.30 Trojan.DownLoader.38426
eSafe 7.0.15.0 2007.12.27 -
eTrust-Vet 31.3.5412 2007.12.29 -
Ewido 4.0 2007.12.30 -
FileAdvisor 1 2007.12.30 -
Fortinet 3.14.0.0 2007.12.30 -
F-Prot 4.4.2.54 2007.12.29 -
F-Secure 6.70.13030.0 2007.12.30 -
Ikarus T3.1.1.15 2007.12.30 Trojan-Spy.Win32.Banker.JU
Kaspersky 7.0.0.125 2007.12.30 Backdoor.Win32.Delf.ctk
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.30 -
NOD32v2 2757 2007.12.30 -
Norman 5.80.02 2007.12.28 -
Panda 9.0.0.4 2007.12.30 Trj/Agent.HMS
Prevx1 V2 2007.12.30 -
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.30 -
Sunbelt 2.2.907.0 2007.12.30 -
Symantec 10 2007.12.30 -
TheHacker 6.2.9.175 2007.12.29 -
VBA32 3.12.2.5 2007.12.29 -
VirusBuster 4.3.26:9 2007.12.30 -
Webwasher-Gateway 6.6.2 2007.12.30 -

wl.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.29.11 2007.12.29 -
AntiVir 7.6.0.46 2007.12.30 -
Authentium 4.93.8 2007.12.30 -
Avast 4.7.1098.0 2007.12.30 -
AVG 7.5.0.516 2007.12.30 -
BitDefender 7.2 2007.12.30 -
CAT-QuickHeal 9.00 2007.12.29 W32.Wamgin.B
ClamAV 0.91.2 2007.12.30 -
DrWeb 4.44.0.09170 2007.12.30 -
eSafe 7.0.15.0 2007.12.27 suspicious Trojan/Worm
eTrust-Vet 31.3.5412 2007.12.29 -
Ewido 4.0 2007.12.30 -
FileAdvisor 1 2007.12.30 -
Fortinet 3.14.0.0 2007.12.30 -
F-Prot 4.4.2.54 2007.12.29 -
F-Secure 6.70.13030.0 2007.12.30 -
Ikarus T3.1.1.15 2007.12.30 -
Kaspersky 7.0.0.125 2007.12.30 -
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.30 -
NOD32v2 2757 2007.12.30 -
Norman 5.80.02 2007.12.28 -
Panda 9.0.0.4 2007.12.30 HackTool/WinLock
Prevx1 V2 2007.12.30 -
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.30 -
Sunbelt 2.2.907.0 2007.12.30 -
Symantec 10 2007.12.30 -
TheHacker 6.2.9.175 2007.12.29 -
VBA32 3.12.2.5 2007.12.29 -
VirusBuster 4.3.26:9 2007.12.30 -
Webwasher-Gateway 6.6.2 2007.12.30 -

WinLockDll.dll:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.29.11 2007.12.29 -
AntiVir 7.6.0.46 2007.12.30 -
Authentium 4.93.8 2007.12.30 -
Avast 4.7.1098.0 2007.12.30 -
AVG 7.5.0.516 2007.12.30 -
BitDefender 7.2 2007.12.30 -
CAT-QuickHeal 9.00 2007.12.29 -
ClamAV 0.91.2 2007.12.30 -
DrWeb 4.44.0.09170 2007.12.30 -
eSafe 7.0.15.0 2007.12.27 -
eTrust-Vet 31.3.5412 2007.12.29 -
Ewido 4.0 2007.12.30 -
FileAdvisor 1 2007.12.30 -
Fortinet 3.14.0.0 2007.12.30 -
F-Prot 4.4.2.54 2007.12.29 W32/Injector.A.gen!Eldorado
F-Secure 6.70.13030.0 2007.12.30 -
Ikarus T3.1.1.15 2007.12.30 -
Kaspersky 7.0.0.125 2007.12.30 -
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.30 -
NOD32v2 2757 2007.12.30 -
Norman 5.80.02 2007.12.28 -
Panda 9.0.0.4 2007.12.30 HackTool/WinLock
Prevx1 V2 2007.12.30 -
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.30 -
Sunbelt 2.2.907.0 2007.12.30 -
Symantec 10 2007.12.30 -
TheHacker 6.2.9.175 2007.12.29 -
VBA32 3.12.2.5 2007.12.29 -
VirusBuster 4.3.26:9 2007.12.30 -
Webwasher-Gateway 6.6.2 2007.12.30 -


catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Dieser Beitrag wurde am 30.12.2007 um 21:17 Uhr von MisterDiLong editiert.
Seitenanfang Seitenende
30.12.2007, 22:56
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 MisterDiLong

wende avenger laut Anleitung an
http://www.virus-protect.org/artikel/tools/avenger.html

kopiere ein:

Zitat

Files to delete:
C:\WINNT\locker.exe
C:\WINNT\wl.exe
C:\WINNT\WinLockDll.dll
C:\WINNT\uid.tmp
«
scanne mit dr.web und poste den report
http://www.virus-protect.org/cureit.html

----------

die entfernten Dateien befinden sich dann im Avenger - falls es keine Probs mit dem Rechner gibt, kannst du diesen Ordner dann löschen.

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Dieser Beitrag wurde am 30.12.2007 um 23:06 Uhr von Pinguin editiert.
Seitenanfang Seitenende
31.12.2007, 00:01
MisterDiLong
...neu hier

Themenstarter

Beiträge: 8
#11 ähhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhm der text is zu lang xD

aber da steht das keine viren gefunden wurden
Seitenanfang Seitenende
31.12.2007, 12:28
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 Hallo

wende sdfix im abgesicherten Modus an - poste den report, der erscheint
http://www.virus-protect.org/artikel/tools/sdfix.html

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
31.12.2007, 13:12
MisterDiLong
...neu hier

Themenstarter

Beiträge: 8
#13 SDFix: Version 1.120

Run by Dillon on Mo 31.12.2007 at 13:02

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINNT
No streams found.

C:\WINNT\system32
No streams found.

C:\WINNT\system32\svchost.exe
No streams found.

C:\WINNT\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 13:09:11
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

IPC error: 2 Das System kann die angegebene Datei nicht finden.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:8872bf3f
"s2"=dword:56fc432e
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:68,76,f5,a4,eb,a0,b4,6e,70,82,f5,d7,d5,72,45,df,f7,23,a6,89,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,e9,d0,fa,bc,a6,f5,5d,ae,89,0a,a1,10,57,64,71,f7,df,..
"khjeh"=hex:f0,48,d4,f8,7e,f1,73,da,e1,eb,8e,a8,97,3d,3e,90,0c,e2,13,69,59,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4f,4a,bf,6e,11,59,b5,30,15,42,41,8d,78,3a,fe,02,9b,e9,9a,cf,35,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:68,76,f5,a4,eb,a0,b4,6e,70,82,f5,d7,d5,72,45,df,f7,23,a6,89,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,e9,d0,fa,bc,a6,f5,5d,ae,89,0a,a1,10,57,64,71,f7,df,..
"khjeh"=hex:f0,48,d4,f8,7e,f1,73,da,e1,eb,8e,a8,97,3d,3e,90,0c,e2,13,69,59,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4f,4a,bf,6e,11,59,b5,30,15,42,41,8d,78,3a,fe,02,9b,e9,9a,cf,35,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\\Programme\\ICQ5.1\\ICQLite.exe"="D:\\Programme\\ICQ5.1\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Wed 3 May 2006 163,328 ..SHR --- "C:\WINNT\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINNT\system32\msfDX.dll"
Wed 13 Dec 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 13 Dec 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Dillon\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sat 17 Feb 2007 20 A..H. --- "C:\Dokumente und Einstellungen\Dillon\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Wed 13 Dec 2006 312 ...H. --- "C:\Dokumente und Einstellungen\Dillon\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Sat 17 Feb 2007 1,536 A..H. --- "C:\Dokumente und Einstellungen\Dillon\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2lic.bak"

Finished!
Seitenanfang Seitenende
31.12.2007, 14:54
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 Hallo,

es muesste wieder alles i.o. sein - kommen noch Popups ?
Guten Rutsch ;)

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
31.12.2007, 15:06
MisterDiLong
...neu hier

Themenstarter

Beiträge: 8
#15 nein nicht das ich wüsste

vielen danke ;)

un ein frohes neues
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1