Viren auf dem Rechner----Hijack-Auswertung---- Bitte um Untersützung

#1 Moin moin,

habe ein Virus auf dem rechner den ich leider weder mit s&d noch mit antivir entfernt bekomme. Da ich null Ahnung hab würd ich mich freuen wenn Ihr mir helfen könntet hier die hijack logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:39:16, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\vhmyrnek.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ich\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - Startup: VirtuaGirl.lnk.disabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3430DFF-974A-419E-86F7-7D03DDECEA92}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\vhmyrnek.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarOpen - Avira GmbH - (no file)

Vielen Dank schonmal vorab.

Mfg Wohlma

#2 Hallo Wohlma

lade diese exe hoch, lass sie ueberpruefen, poste den report
http://www.virustotal.com/de/
(kannst du von hier aus einkopieren)

C:\WINDOWS\system32\vhmyrnek.exe

C:\WINDOWS\system32\PnkBstrA.exe

-------------------------------------------------------------------

poset bitte dieses Log hier
http://www.virus-protect.org/artikel/tools/combofix.html

-----------------------------------------------------------------

««
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

DomainService

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hi

Bei C:\WINDOWS\system32\PnkBstrA.exe dürfte es sich wahrscheinlich um ein Programmteil von www.evenbalance.com handeln. Wird als CheatWall bei onlinespielen verwendet.

Gruss Tonstudio

#4 1.:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.16.11 2008.01.16 Win-Trojan/Agent.74240.P
AntiVir 7.6.0.48 2008.01.16 ADSPY/Agent.74304
Authentium 4.93.8 2008.01.16 W32/Backdoor2.DK
Avast 4.7.1098.0 2008.01.16 Win32:Agent-PCJ
AVG 7.5.0.516 2008.01.16 BackDoor.Agent.PTA
BitDefender 7.2 2008.01.16 Trojan.Fotomoto.H
CAT-QuickHeal 9.00 2008.01.16 Backdoor.Agent.dbm
ClamAV 0.91.2 2008.01.16 Trojan.Agent-10096
DrWeb 4.44.0.09170 2008.01.16 Trojan.EzulaAd
eSafe 7.0.15.0 2008.01.16 Suspicious File
eTrust-Vet 31.3.5462 2008.01.16 Win32/Abetear.I
Ewido 4.0 2008.01.16 -
FileAdvisor 1 2008.01.16 -
Fortinet 3.14.0.0 2008.01.16 -
F-Prot 4.4.2.54 2008.01.15 W32/Backdoor2.DK
F-Secure 6.70.13260.0 2008.01.16 Trojan-Downloader.Win32.Agent.gwe
Ikarus T3.1.1.20 2008.01.16 Trojan.Agent.AGBD
Kaspersky 7.0.0.125 2008.01.16 Trojan-Downloader.Win32.Agent.gwe
McAfee 5209 2008.01.16 AdClicker-FK
Microsoft 1.3109 2008.01.16 Trojan:Win32/Vundo.gen!A
NOD32v2 2798 2008.01.16 Win32/Adware.Ezula
Norman 5.80.02 2008.01.16 W32/Virtumonde.JDS
Panda 9.0.0.4 2008.01.15 Spyware/Virtumonde
Prevx1 V2 2008.01.16 ADWARE.FOTOMOTO.F
Rising 20.27.22.00 2008.01.16 Backdoor.Win32.Agent.czt
Sophos 4.24.0 2008.01.16 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.16 Trojan.Vundo
TheHacker 6.2.9.188 2008.01.16 Backdoor/Agent.czt
VBA32 3.12.2.5 2008.01.15 Backdoor.Win32.Agent.dbm
VirusBuster 4.3.26:9 2008.01.16 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.16 Ad-Spyware.Agent.74304
weitere Informationen
File size: 74304 bytes
MD5: c3b3a9c6eddb61e97974815c059b2522
SHA1: 1ba63e2c30b9c398c2a0bc6a5f5b9fe4c0e95560
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=82DC43EC40BC1C042247012F80485F004EB008CF

2.

ComboFix 08-01-16.4 - Ich 2008-01-16 17:55:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.269 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cfhkj.ini
C:\WINDOWS\system32\cfhkj.ini2
C:\WINDOWS\system32\ffhslgdh.exe
C:\WINDOWS\system32\gjjlm.ini
C:\WINDOWS\system32\gjjlm.ini2
C:\WINDOWS\system32\hfeebvhx.exe
C:\WINDOWS\system32\jkhfc.dll
C:\WINDOWS\system32\kstaevwa.ini
C:\WINDOWS\system32\kstaevwa.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ndsmcd.dll
C:\WINDOWS\system32\onvnduex.exe
C:\WINDOWS\system32\rqrronk.dll
C:\WINDOWS\system32\vhmyrnek.exe
C:\WINDOWS\system32\wvutsqp.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-12-16 bis 2008-01-16 ))))))))))))))))))))))))))))))
.

2008-01-16 17:59 . 2008-01-16 17:59 74,304 --a------ C:\WINDOWS\system32\rpychiyt.exe
2008-01-16 17:50 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 15:35 . 2008-01-13 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\DAEMON Tools
2008-01-13 15:34 . 2008-01-13 15:35 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-01-13 15:31 . 2008-01-13 15:31 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 19:00 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-01-12 19:00 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2008-01-12 19:00 . 2006-07-28 09:30 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2008-01-12 19:00 . 2006-09-28 16:04 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-01-12 19:00 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2008-01-12 19:00 . 2006-09-28 16:03 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-12-30 21:59 . 2007-12-30 21:59 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-29 21:29 . 2007-12-29 21:29 107 --a------ C:\WINDOWS\wininit.ini
2007-12-19 12:52 . 2008-01-01 19:38 0 --ah----- C:\BIT2.tmp
2007-12-19 12:51 . 2007-12-22 12:24 27,348 --ahs---- C:\WINDOWS\system32\kstapft.ini2
2007-12-19 12:51 . 2007-12-22 12:26 27,348 --ahs---- C:\WINDOWS\system32\kstapft.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 16:43 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Azureus
2008-01-12 18:08 --------- d-----w C:\Programme\America's Army
2007-12-22 09:17 --------- d-----w C:\Programme\MSN Messenger
2007-12-22 09:17 --------- d-----w C:\Programme\Messenger Plus! Live
2007-12-22 09:14 --------- d-----w C:\Programme\Lx_cats
2007-12-19 07:05 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\OpenOffice.org2
2007-12-14 15:51 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Desktop Sidebar
2007-12-10 17:08 --------- d-----w C:\Dokumente und Einstellungen\Nadine\Anwendungsdaten\OpenOffice.org2
2007-12-10 12:20 1,598 ----a-w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\wklnhst.dat
2007-12-06 18:29 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Skype
2007-11-29 19:16 --------- d-----w C:\Programme\RouterControl
2007-11-25 14:44 --------- d-----w C:\Programme\FreePDF_XP
2007-11-23 17:11 --------- d-----w C:\Programme\Java
2007-11-23 15:35 --------- d-----w C:\Programme\Apple Software Update
2007-11-23 15:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-23 14:35 --------- d-----w C:\Programme\Lexmark 3300 Series
2007-11-20 19:48 --------- d-----w C:\Programme\Desktop Sidebar
2007-11-20 17:28 --------- d-----w C:\Programme\CooSoft
2007-11-20 17:28 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\CoolCalendar
2007-11-20 16:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-08 16:34 286,720 ----a-w C:\WINDOWS\iun506.exe
2007-11-07 21:14 308 ----a-w C:\Programme\INSTALL.LOG
2007-11-07 21:13 133,872 ----a-w C:\WINDOWS\~GLC0016.TMP
2007-03-29 08:01 17,570,898 ----a-w C:\Programme\klcodec288f.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12F32585-4392-4519-BE9F-AF94F4A7A777}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE964C50-2577-4C25-9096-BAF5A0088F44}]
C:\WINDOWS\system32\mljjg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 14:54 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 20:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 17:19 249896]
"CTHelper"="CTHELPER.EXE" [2006-08-11 13:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 13:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"LXCCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll" [2005-01-10 10:21 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 20:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrronk]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SIDEBAR"="C:\Programme\Desktop Sidebar\dsidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

S3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]

.
Inhalt des "geplante Tasks" Ordners
"2007-12-18 19:37:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 18:06:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-16 18:09:16 - machine was rebooted [Ich]
ComboFix-quarantined-files.txt 2008-01-16 17:09:14
.
2008-01-09 21:55:54 --- E O F ---

3.

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 16.01.2008 18:13:07 for strings:
; 'domainservice'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Nachdem ich Nr.2 ausgeführt habe dreht mien s&d durch da ich irgendwann mal die Änderung an der Registrierungsdatenbank verboten habe für "rqrronk" der versucht wohl wieder das zu ändern wird aber immer wieder von s&d geblockt.

Danke nochmal für die schnelle Hilfe

#5 Wohlma

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12F32585-4392-4519-BE9F-AF94F4A7A777}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE964C50-2577-4C25-9096-BAF5A0088F44}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrronk]

File::
C:\WINDOWS\system32\mljjg.dll
C:\WINDOWS\system32\rpychiyt.exe
C:\BIT2.tmp
C:\WINDOWS\system32\kstapft.ini2
C:\WINDOWS\system32\kstapft.ini

Textdatei und mit der rechten Maustaste auf das Symbol von Combofix ziehen



noch mal Combofix anwenden - tippe 1
poste das neue Log
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6 ComboFix 08-01-16.4 - Ich 2008-01-16 21:57:14.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.243 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ich\Desktop\cfscript.txt.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\BIT2.tmp
C:\WINDOWS\system32\kstapft.ini
C:\WINDOWS\system32\kstapft.ini2
C:\WINDOWS\system32\mljjg.dll
C:\WINDOWS\system32\rpychiyt.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\BIT2.tmp
C:\WINDOWS\system32\kstapft.ini
C:\WINDOWS\system32\kstapft.ini2
C:\WINDOWS\system32\rpychiyt.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-16 bis 2008-01-16 ))))))))))))))))))))))))))))))
.

2008-01-16 17:50 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 15:35 . 2008-01-13 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\DAEMON Tools
2008-01-13 15:34 . 2008-01-13 15:35 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-01-13 15:31 . 2008-01-13 15:31 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 19:00 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-01-12 19:00 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2008-01-12 19:00 . 2006-07-28 09:30 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2008-01-12 19:00 . 2006-09-28 16:04 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-01-12 19:00 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2008-01-12 19:00 . 2006-09-28 16:03 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-12-30 21:59 . 2007-12-30 21:59 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-29 21:29 . 2007-12-29 21:29 107 --a------ C:\WINDOWS\wininit.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 16:43 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Azureus
2008-01-12 18:08 --------- d-----w C:\Programme\America's Army
2007-12-22 09:17 --------- d-----w C:\Programme\MSN Messenger
2007-12-22 09:17 --------- d-----w C:\Programme\Messenger Plus! Live
2007-12-22 09:14 --------- d-----w C:\Programme\Lx_cats
2007-12-19 07:05 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\OpenOffice.org2
2007-12-14 15:51 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Desktop Sidebar
2007-12-10 17:08 --------- d-----w C:\Dokumente und Einstellungen\Nadine\Anwendungsdaten\OpenOffice.org2
2007-12-10 12:20 1,598 ----a-w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\wklnhst.dat
2007-12-06 18:29 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Skype
2007-11-29 19:16 --------- d-----w C:\Programme\RouterControl
2007-11-25 14:44 --------- d-----w C:\Programme\FreePDF_XP
2007-11-23 17:11 --------- d-----w C:\Programme\Java
2007-11-23 15:35 --------- d-----w C:\Programme\Apple Software Update
2007-11-23 15:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-23 14:35 --------- d-----w C:\Programme\Lexmark 3300 Series
2007-11-20 19:48 --------- d-----w C:\Programme\Desktop Sidebar
2007-11-20 17:28 --------- d-----w C:\Programme\CooSoft
2007-11-20 17:28 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\CoolCalendar
2007-11-20 16:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-08 16:34 286,720 ----a-w C:\WINDOWS\iun506.exe
2007-11-07 21:14 308 ----a-w C:\Programme\INSTALL.LOG
2007-11-07 21:13 133,872 ----a-w C:\WINDOWS\~GLC0016.TMP
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:35 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-03-29 08:01 17,570,898 ----a-w C:\Programme\klcodec288f.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-16_18.08.58.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-16 16:52:55 1,396,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-16 20:57:06 1,396,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-16 16:52:55 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-16 20:57:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-16 16:52:55 1,396,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-16 20:57:06 1,396,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-16 16:52:56 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-16 20:57:07 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-16 16:52:56 5,701,632 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-16 20:57:07 5,709,824 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-16 16:52:56 290,816 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-16 20:57:07 290,816 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 14:54 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 20:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 17:19 249896]
"CTHelper"="CTHELPER.EXE" [2006-08-11 13:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 13:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"LXCCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll" [2005-01-10 10:21 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 20:00 15360]

C:\Dokumente und Einstellungen\Nadine\Startmen�\Programme\Autostart\
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 16:54:56]

C:\Dokumente und Einstellungen\Ich\Startmen�\Programme\Autostart\
VirtuaGirl.lnk.disabled [2007-11-07 22:11:07]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SIDEBAR"="C:\Programme\Desktop Sidebar\dsidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

S3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]

.
Inhalt des "geplante Tasks" Ordners
"2007-12-18 19:37:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 22:02:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-16 22:03:22
ComboFix-quarantined-files.txt 2008-01-16 21:03:00
ComboFix2.txt 2008-01-16 17:09:17
.
2008-01-09 21:55:54 --- E O F ---


nach den verschiedenen Phasen sagt mir das Programm das die Löschbefehle entwede falsch geschrieben sind oder nicht angewendet werden können. Desweiteren funktioniert irgendwie miene saoundkarte nicht mehr

Edit: s&d sagt mir das virtumode wohl erkannt wurde.

#7 Wohlma

1.
lösche alles von VirtuaGirl vom System, auch in der registry

2.
installiere die Treiber für die Soundkarte neu oder reparieren..

3.
scanne mit Spysweeper + poste den Report
http://www.virus-protect.org/spysweeper.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 kam mit spysweeper nicht klar.....

bei beiden links wurde kein log erstellt und nu?

#9 «
wurde aber was geloescht ? oder ist der Scanner einfach so durchgelaufen ?

«
scanne mit dr.web
http://www.virus-protect.org/cureit.html
berichte, ob was gefunden wurde
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 der scanner ist so durchgelaufen... es wurde aber was gefunden...

außerdem ist der sownload down von dr.web

#11 der Download ist nicht down ..hab gerade geklickt ..und die exe erscheint sofort ..
woher hast du dann den dr.web geholt ?
http://www.virus-protect.org/cureit.html

was wurde gefunden ? kopiere es hier...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 es wurde nichts gefunden von dr. web.... aber antivir findet ab und an was.... bloß wie kann ich aus antivir ein log.datei erstellen?

#13 Tag,Wohlma
Kannst du bitte mit hilfe von den Editor den inhalt von C:\WINDOWS\wininit.ini hier posten?
__________
MfG Argus

#14 vielleicht steht es unter Report ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 das ist das einzige was ich unter dem punkt report sehe....