VirusProtect 3.9

#1 Hallo,
hab mir also dieses Ding zugezogen. AntiVir hat etliche Trojanische Pferde und Dialer gefunden und gelöscht, bzw. unter Quarantäne gestellt. Mein PC arbeitet jetzt zwar eher normal, aber bis vor kurzen hatte ich dauernd eine AntiVir-Meldung über einen TR/Zlo...(?) - erinnere mich nicht mehr - und ständig System Alert! in der Sybolleiste.
Bin leider unerfahren und hab das erste mal so ´n Teil.

Also erstmal folgendes:


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC89-22E4

Verzeichnis von C:\WINDOWS\system32

16.01.2008 19:05 2.206 wpa.dbl
04.01.2008 08:51 311.604 perfh009.dat
04.01.2008 08:51 39.992 perfc009.dat
04.01.2008 08:51 48.156 perfc007.dat
04.01.2008 08:51 316.594 perfh007.dat
04.01.2008 08:51 723.744 PerfStringBackup.INI
01.12.2007 15:53 138.848 FNTCACHE








Logfile of HijackThis v1.99.1
Scan saved at 20:34:58, on 17.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\VSTASCAN\vsaccess.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\privat\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe



Hoffe das hilft erstmal,

lieben Dank im voraus.

#2 poste bitte das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 ComboFix 08-01-18.3 - privat 2008-01-18 2:15:18.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.105 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\privat\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Helper

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-18 bis 2008-01-18 ))))))))))))))))))))))))))))))
.

2008-01-18 02:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-14 20:42 . 2008-01-14 20:42 <DIR> d-------- C:\Programme\Avira
2008-01-14 20:42 . 2008-01-14 20:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-14 20:36 . 2008-01-14 20:36 17,820,592 --a------ C:\Programme\antivir_workstation_win7u_de_h.exe
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-14 18:56 . 2008-01-14 18:56 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-13 02:35 . 2008-01-13 02:35 <DIR> d---s---- C:\Dokumente und Einstellungen\privat\UserData
2008-01-12 18:50 . 2008-01-12 18:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-12 18:49 . 2008-01-12 18:49 <DIR> d-------- C:\Programme\Online Add-on
2008-01-05 22:34 . 2008-01-05 22:34 <DIR> d-------- C:\WUTemp
2008-01-05 22:34 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2008-01-05 22:34 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\dllcache\iuengine.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 18:26 86,656 ----a-w C:\WINDOWS\Prefetch\IEXPLORE2.EXE
2007-12-12 13:06 31,240 ----a-w C:\Dokumente und Einstellungen\privat\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-03 14:31 --------- d-----w C:\Programme\Setup Application
2007-11-30 17:19 --------- d-----w C:\Programme\Finale SongWriter 2005
2007-11-28 17:47 --------- d-----w C:\Programme\Google
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 01:43 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 11:45 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NWEReboot"="" []
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2006-07-25 15:55 1043968]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-14 23:49 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 01:43 13312]

C:\Dokumente und Einstellungen\privat\Startmen�\Programme\Autostart\
UMAX VistaAccess.lnk - C:\VSTASCAN\vsaccess.exe [2007-03-09 22:06:34]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06]
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-02-04 10:43:51]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{91316323-2ad5-4794-9589-52a2eaa60a68}"= C:\WINDOWS\System32\shlahsd.dll [ ]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R3 atirage;atirage;C:\WINDOWS\System32\DRIVERS\atiragem.sys [2001-08-18 04:19]
S1 AEC671X;AEC671X;C:\WINDOWS\System32\drivers\AEC671X.SYS [1998-05-05 11:06]
S1 DMX3191;DMX3191;C:\WINDOWS\System32\drivers\DMX3191.SYS [1999-02-23 01:12]
S2 UDNT;UDNT;C:\WINDOWS\System32\drivers\UDNT.sys [1998-09-18 08:48]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 02:16:38
Windows 5.1.2600 Service Pack 1 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-18 2:17:15

#4 Lade DIr
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Online Add-on

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

#5 tilapia

Combofix
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Custom Tools]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Safety Features]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F2BADA0D-FD61-45EF-A994-64A073FD6613}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{91316323-2ad5-4794-9589-52a2eaa60a68}"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\VirusProtect 3.9]

File::
C:\WINDOWS\System32\shlahsd.dll

Folder::
C:\Programme\Online Add-on
C:\Programme\VirusProtect 3.9

CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende combofix noch mal an - tippe 1

»
wende smitfraudfix an
http://www.virus-protect.org/artikel/tools/smitfrautfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6 ich mach alles, was ihr mir sagt, aber wie geht das mit smitfraudfix?
Welche von den Anwendungen muss ich anklicken?


LG


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 18.01.2008 13:41:23 for strings:
; 'online add-on'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Custom Tools]
"UninstallString"="\"C:\\Programme\\Online Add-on\\ictun.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Safety Features]
"UninstallString"="\"C:\\Programme\\Online Add-on\\isfun.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center]
"UninstallString"="\"C:\\Programme\\Online Add-on\\icun.exe\""

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"001"="online Add-on"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Online Add-on\\icthis.exe"="icthis"

[HKEY_CURRENT_USER\Software\Online Add-on]

[HKEY_CURRENT_USER\Software\Online Add-on]
"Path"="C:\\Programme\\Online Add-on"

; End Of The Log...








ComboFix 08-01-18.3 - privat 2008-01-18 13:47:22.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.109 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\privat\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\privat\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\WINDOWS\System32\shlahsd.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Online Add-on
C:\Programme\Online Add-on\ictun.exe
C:\Programme\Online Add-on\ot.ico
C:\Programme\Online Add-on\ts.ico

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-18 bis 2008-01-18 ))))))))))))))))))))))))))))))
.

2008-01-18 02:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-14 20:42 . 2008-01-14 20:42 <DIR> d-------- C:\Programme\Avira
2008-01-14 20:42 . 2008-01-14 20:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-14 20:36 . 2008-01-14 20:36 17,820,592 --a------ C:\Programme\antivir_workstation_win7u_de_h.exe
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-14 20:12 . 2007-01-26 11:37 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-14 18:56 . 2008-01-14 18:56 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-13 02:35 . 2008-01-13 02:35 <DIR> d---s---- C:\Dokumente und Einstellungen\privat\UserData
2008-01-12 18:50 . 2008-01-12 18:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-05 22:34 . 2008-01-05 22:34 <DIR> d-------- C:\WUTemp
2008-01-05 22:34 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2008-01-05 22:34 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\dllcache\iuengine.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 18:26 86,656 ----a-w C:\WINDOWS\Prefetch\IEXPLORE2.EXE
2007-12-12 13:06 31,240 ----a-w C:\Dokumente und Einstellungen\privat\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-03 14:31 --------- d-----w C:\Programme\Setup Application
2007-11-30 17:19 --------- d-----w C:\Programme\Finale SongWriter 2005
2007-11-28 17:47 --------- d-----w C:\Programme\Google
.

((((((((((((((((((((((((((((( snapshot@2008-01-18_ 2.16.46.88 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-18 01:15:06 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-18 12:47:14 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-18 01:15:06 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-18 12:47:14 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-18 01:15:06 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-18 12:47:14 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-18 01:15:08 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-18 12:47:14 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-18 01:15:08 2,953,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-18 12:47:14 2,961,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-18 01:15:08 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-18 12:47:14 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 01:43 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 11:45 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NWEReboot"="" []
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2006-07-25 15:55 1043968]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-14 23:49 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 01:43 13312]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R3 atirage;atirage;C:\WINDOWS\System32\DRIVERS\atiragem.sys [2001-08-18 04:19]
S1 AEC671X;AEC671X;C:\WINDOWS\System32\drivers\AEC671X.SYS [1998-05-05 11:06]
S1 DMX3191;DMX3191;C:\WINDOWS\System32\drivers\DMX3191.SYS [1999-02-23 01:12]
S2 UDNT;UDNT;C:\WINDOWS\System32\drivers\UDNT.sys [1998-09-18 08:48]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 13:52:18
Windows 5.1.2600 Service Pack 1 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-18 13:53:32 - machine was rebooted
ComboFix2.txt 2008-01-18 01:17:18
ComboFix-quarantined-files.txt 2008-01-18 12:53:28

#7 ««
wende smitfraudfix an
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

dann sollte wieder alles i.o. sein
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 logfile rapport.txt ist erstellt, nur beim Ausführen von smitfrautfix (Schritt 2)im abgesicherten Modus, finde ich diese Datei gar nicht.

Beim zweiten entpacken hat AntiVir "TR/VB.20480" gemeldet.
smitfrautfix meldet das Fehlen der process.exe Datei. "Dücken einer beliebigen Taste", danach passiert gar nix mehr.

???



SmitFraudFix v2.274

Scan done at 14:17:16,40, 18.01.2008
Run from C:\Dokumente und Einstellungen\privat\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\VSTASCAN\vsaccess.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\privat


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\privat\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\privat\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 145.253.2.11
DNS Server Search Order: 145.253.2.75

HKLM\SYSTEM\CCS\Services\Tcpip\..\{82F8AD01-B24D-4438-ACC9-B932C9ADF4D4}: DhcpNameServer=145.253.2.11 145.253.2.75
HKLM\SYSTEM\CS1\Services\Tcpip\..\{82F8AD01-B24D-4438-ACC9-B932C9ADF4D4}: DhcpNameServer=145.253.2.11 145.253.2.75
HKLM\SYSTEM\CS2\Services\Tcpip\..\{82F8AD01-B24D-4438-ACC9-B932C9ADF4D4}: DhcpNameServer=145.253.2.11 145.253.2.75
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=145.253.2.11 145.253.2.75
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=145.253.2.11 145.253.2.75
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=145.253.2.11 145.253.2.75


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#9 -smitfraudfix hat trotz Probleme korrekt funktioniert

-mache bitte einen Komplettscan mit Antivirus + poste hier den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Der scheint noch nich ganz sauber zu sein...


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 18. Januar 2008 18:44

Es wird nach 1054433 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: SYSTEM
Computername: PRIVAT-AJMPVGBA

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:26
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:30
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:44
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:06
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:16
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 22:49:30
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15.01.2008 18:26:40
ANTIVIR3.VDF : 7.0.2.15 191488 Bytes 17.01.2008 18:26:40
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 17.01.2008 18:26:40
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:24
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:52
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 17.01.2008 18:26:40
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:04
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:30
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:16
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:04
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:52
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:30
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 18. Januar 2008 18:44

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSACCESS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSMSGS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\privat\Desktop\SmitfraudFix.zip
[0] Archivtyp: ZIP
--> SmitfraudFix/SmiUpdate.exe
[FUND] Ist das Trojanische Pferd TR/VB.20480
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47f9e7c2.qua' verschoben!
C:\System Volume Information\_restore{94812712-4310-4CA1-92E6-E034244FEC1A}\RP8\A0019779.DLL
[FUND] Ist das Trojanische Pferd TR/Dldr.Bojo.AF.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c0e966.qua' verschoben!
C:\System Volume Information\_restore{94812712-4310-4CA1-92E6-E034244FEC1A}\RP10\A0019926.exe
[FUND] Ist das Trojanische Pferd TR/VB.20480
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c0e977.qua' verschoben!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Freitag, 18. Januar 2008 19:14
Benötigte Zeit: 29:52 min

Der Suchlauf wurde vollständig durchgeführt.

2950 Verzeichnisse wurden überprüft
136482 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
136479 Dateien ohne Befall
723 Archive wurden durchsucht
2 Warnungen
0 Hinweise

#11 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren
/dann wieder aktivieren

««
smitfraudfix ist kein Trojaner - Antivirus schiesst da übers Ziel hinaus...

---

es ist alles wieder in bester Ordnung - aufpassen wo du surfst und was du anklickst - nicht alles ist koscher.................
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 DAAAAAAAAAAAAAAAAAAAAAAAAAANKE!!!