mlljg.dll-Virus mit Spybot Search&Detroy detektiert

#1 Nach dem Einschalten der Rechner bekomme ich folgende Meldung:
NT Start up, Wert hinzugefügt: C:\WINDOWS\system32\mlljg.dll.
Nachdem ich das Menu "Verweigern" angklickt habe, erscheint das nächste Fenster:
Browser Helper Object, Wert hinzugefügt, Eintrag: {84534337-0361-247D-860F-7C5AD53...}
Wenn ich das 2.Fenster mit "Verweigern" weggeklickt habe, ist das 1. Fenster wieder da u.s.w...
Das ist sehr nervig. Wie kann ich das Problem loswerden? Ich danke Euch für die Hilfe.
Grüße
merzhausen
[/img][/url]

#2 @merzhausen

Achtung, Nicht akzeptieren. Könnte sich um ein FAKEProgramm von Sbyboot handeln. --> Trojan.Vundo

Am besten arbeite das hier mal ab. Sicherlich das HIjack this und combofix Log erstellen.

http://board.protecus.de/t23188.htmCombofix


Gruss Tonstudio

#3 merzhausen

das sieht nach Vundo aus - poste das Log von Combofix - dann sehen wir weiter
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#4 Hallo Tonstudio und Pinguin,
vielen Dank für Eure Antworten. Ich werde das am Wochenende tun.
Grüße
merzhausen

#5 Hallo Pinguin, hier ist das log von Combofix, danke für die Analyse. merzhausen.

ComboFix 08-01-23.1C - 2008-01-27 22:21:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.160 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dung\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\gjllm.ini
C:\WINDOWS\system32\gjllm.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlljg.dll
C:\WINDOWS\system32\mlljg.exe
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\RCX23.tmp
C:\WINDOWS\system32\windows
C:\WINDOWS\system32\winjks32.dll
C:\WINDOWS\system32\wncnabkj
C:\WINDOWS\system32\wncnabkj\bg1.gif
C:\WINDOWS\system32\wncnabkj\bgtop.gif
C:\WINDOWS\system32\wncnabkj\bottom1.gif
C:\WINDOWS\system32\wncnabkj\essentials.gif
C:\WINDOWS\system32\wncnabkj\icon1.ico
C:\WINDOWS\system32\wncnabkj\install1.gif
C:\WINDOWS\system32\wncnabkj\left1.gif
C:\WINDOWS\system32\wncnabkj\li.gif
C:\WINDOWS\system32\wncnabkj\logo.gif
C:\WINDOWS\system32\wncnabkj\main.htm
C:\WINDOWS\system32\wncnabkj\mainframe.htm
C:\WINDOWS\system32\wncnabkj\reinstall1.gif
C:\WINDOWS\system32\wncnabkj\right1.gif
C:\WINDOWS\system32\wncnabkj\s1.htm
C:\WINDOWS\system32\wncnabkj\s2.htm
C:\WINDOWS\system32\wncnabkj\s3.htm
C:\WINDOWS\system32\wncnabkj\SMTop1.gif
C:\WINDOWS\system32\wncnabkj\SMTop2.gif
C:\WINDOWS\system32\wncnabkj\SMTop3.gif
C:\WINDOWS\system32\wncnabkj\SMTop4.gif
C:\WINDOWS\system32\wncnabkj\soft1_off.gif
C:\WINDOWS\system32\wncnabkj\soft1_off_ext.gif
C:\WINDOWS\system32\wncnabkj\soft1_on.gif
C:\WINDOWS\system32\wncnabkj\soft1_on_ext.gif
C:\WINDOWS\system32\wncnabkj\soft2_off.gif
C:\WINDOWS\system32\wncnabkj\soft2_off_ext.gif
C:\WINDOWS\system32\wncnabkj\soft2_on.gif
C:\WINDOWS\system32\wncnabkj\soft2_on_ext.gif
C:\WINDOWS\system32\wncnabkj\soft3_off.gif
C:\WINDOWS\system32\wncnabkj\soft3_off_ext.gif
C:\WINDOWS\system32\wncnabkj\soft3_on.gif
C:\WINDOWS\system32\wncnabkj\soft3_on_ext.gif
C:\WINDOWS\system32\wncnabkj\softbottom_off.gif
C:\WINDOWS\system32\wncnabkj\softbottom_on.gif
C:\WINDOWS\system32\wncnabkj\softleft_off.gif
C:\WINDOWS\system32\wncnabkj\softleft_on.gif
C:\WINDOWS\system32\wncnabkj\top1.gif
C:\WINDOWS\system32\wncnabkj\top2.gif
C:\WINDOWS\system32\wncnabkj\turnoff1.gif
C:\WINDOWS\system32\wncnabkj\turnon1.gif
C:\WINDOWS\system32\wncnabkj\wncnabkj1.exe
C:\WINDOWS\system32\wncnabkj\wncnabkj2.exe
C:\WINDOWS\system32\wncnabkj\wncnabkj3.exe
K:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-12-27 bis 2008-01-27 ))))))))))))))))))))))))))))))
.

2008-01-27 22:19 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-27 20:49 . 2004-08-04 00:57 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-27 20:49 . 2004-08-04 00:57 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-27 14:43 . 2008-01-27 14:43 <DIR> d-------- C:\Programme\MSXML 6.0
2008-01-27 14:36 . 2008-01-27 14:36 8 --a------ C:\WINDOWS\system32\f03a1a1a
2008-01-26 22:31 . 2008-01-26 22:31 100,608 --a------ C:\WINDOWS\system32\drivers\avmaura.sys
2008-01-26 21:55 . 2008-01-26 21:55 <DIR> d-------- C:\Programme\MSBuild
2008-01-26 21:51 . 2008-01-26 21:57 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-01-26 21:50 . 2008-01-26 21:50 <DIR> d-------- C:\Programme\Reference Assemblies
2008-01-26 21:49 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-16 22:59 . 2008-01-16 22:59 <DIR> d-------- C:\Programme\Avira
2008-01-15 23:03 . 2008-01-16 00:35 505 --a------ C:\WINDOWS\wininit.ini
2008-01-15 22:56 . 2008-01-15 22:56 294 ---hs---- C:\WINDOWS\system32\hlyvoyku.ini
2008-01-15 06:50 . 2008-01-26 22:37 4,696 --a------ C:\WINDOWS\imsins.BAK
2008-01-13 23:13 . 2008-01-14 21:41 <DIR> d-------- C:\Programme\Windows Defender
2008-01-13 22:55 . 2008-01-13 22:55 348,160 --a------ C:\WINDOWS\system32\RCXB77.tmp
2008-01-13 22:26 . 2008-01-14 07:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-13 22:26 . 2008-01-13 22:26 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-13 17:43 . 2008-01-15 19:41 4,096 --a------ C:\WINDOWS\system32\crash
2008-01-08 22:17 . 2008-01-08 22:17 348,160 --a------ C:\WINDOWS\system32\RCX8EC.tmp
2008-01-06 22:56 . 2008-01-06 22:56 348,160 --a------ C:\WINDOWS\system32\RCXA36.tmp
2008-01-02 21:30 . 2008-01-02 21:30 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-12-30 19:49 . 2007-12-30 19:49 <DIR> d-------- C:\Programme\DirectX Runtime for Nov2007
2007-12-30 19:13 . 2006-05-03 11:57 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-12-30 19:12 . 2007-12-30 20:05 <DIR> d-------- C:\Programme\ATI Technologies
2007-12-28 22:07 . 2007-12-28 22:07 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-12-28 21:50 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-12-28 21:50 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-12-27 17:31 . 2007-12-27 17:30 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-12-27 17:28 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-27 17:19 . 2007-12-27 17:19 <DIR> d-------- C:\WINDOWS\Sun
2007-12-27 17:18 . 2007-12-27 17:28 <DIR> d-------- C:\Programme\Java
2007-12-27 17:17 . 2007-12-27 17:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-12-27 11:22 . 2007-12-27 11:22 <DIR> d-------- C:\WINDOWS\system32\de
2007-12-27 11:22 . 2007-12-27 14:10 <DIR> d-------- C:\WINDOWS\system32\bits
2007-12-27 11:22 . 2007-12-27 11:22 <DIR> d-------- C:\WINDOWS\l2schemas
2007-12-27 11:15 . 2007-08-10 20:44 33,656 --a------ C:\WINDOWS\system32\sprecovr.exe
2007-12-27 11:13 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\005291_.tmp
2007-12-27 11:10 . 2002-08-29 13:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2007-12-27 10:18 . 2008-01-27 20:50 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 21:55 --------- d-----w C:\Programme\Windows Media Connect 2
2008-01-16 22:17 --------- d-----w C:\Programme\SymNetDrv
2008-01-16 21:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-16 21:49 --------- d-----w C:\Programme\Norton AntiVirus
2008-01-05 21:49 --------- d-----w C:\Programme\DivX
2008-01-03 18:08 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-30 18:13 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-27 20:22 --------- d-----w C:\Programme\Secret Maryo Chronicles
2007-12-27 12:25 --------- d-----w C:\Programme\EA GAMES
2007-12-27 11:12 --------- d-----w C:\Programme\Ahead
2007-12-27 11:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-12-20 15:28 --------- d-----w C:\Programme\SlySoft
2007-12-11 19:46 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

Code

<pre>
----a-w            45,056 2008-01-16 21:51:57  C:\Programme\ATI Technologies\ATI.ACE\cli .exe
----a-w            69,632 2008-01-22 20:17:04  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
----a-w           196,608 2008-01-22 20:17:04  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe
----a-w            58,992 2008-01-16 21:13:26  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp .exe
----a-w            36,975 2007-12-27 16:22:31  C:\Programme\Java\jre1.5.0_03\bin\jusched .exe
----a-w           132,496 2008-01-22 20:17:08  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w            65,536 2008-01-22 20:17:00  C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain .exe
----a-w           159,744 2008-01-27 13:32:05  C:\Programme\Saitek\Software\Profiler .exe
----a-w            98,304 2008-01-26 19:54:48  C:\Programme\Saitek\Software\SaiSmart .exe
----a-w            15,360 2008-01-27 19:50:26  C:\WINDOWS\system32\ctfmon .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0CA7A778-23C4-481E-9424-B4534957E39E}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2BAD0253-E6F1-0EB1-50C6-08D1DF0D4119}]
C:\Programme\Rskuxeoz\xqyisaje.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B9178E7E-E23D-4555-8F72-C4F9AC51C65A}]
C:\WINDOWS\system32\ssqpn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BB39A1FB-F438-4B0D-9E6E-4FAE98E44488}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [ ]
"AVMUSBFernanschluss"="C:\Dokumente und Einstellungen\Dung\Lokale Einstellungen\Apps\2.0\JK2BR9J9.E7B\YDDTH3O3.06J\frit..tion_f8d772dfbb3f7453_0002.0001_147a792107b9f781\AVMAutoStart.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ypagerps"="cmd.exe" [2004-08-04 00:57 401408 C:\WINDOWS\system32\cmd.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Keyboard driver "="C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe" [ ]
"Profiler"="C:\Programme\Saitek\Software\Profiler.exe" [ ]
"SaiSmart"="C:\Programme\Saitek\Software\SaiSmart.exe" [ ]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [ ]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [ ]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2007-11-17 16:21 98304]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [ ]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Dung\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-07 09:20:12 913408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rvojmsvy]
rvojmsvy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjks32]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOW

R0 BsStor;B.H.A Storage Helper Driver;C:\WINDOWS\system32\drivers\BsStor.sys [2006-06-23 11:47]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-27 22:01]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2007-03-07 17:03]
R2 athsgt;athsgt;C:\WINDOWS\system32\DRIVERS\athsgt.sys [2007-01-06 21:34]
R2 limsgt;limsgt;C:\WINDOWS\system32\DRIVERS\limsgt.sys [2007-01-06 21:34]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-05-21 11:40]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-01-26 22:31]
S3 SaiHFF0C;SaiHFF0C;C:\WINDOWS\system32\DRIVERS\SaiHFF0C.sys [2004-06-11 10:59]
S3 SaiUFF0C;SaiUFF0C;C:\WINDOWS\system32\DRIVERS\SaiUFF0C.sys [2004-06-11 10:59]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-15 00:51:00 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-27 22:31:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-27 22:35:58 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-27 21:35:55
.
2008-01-27 13:43:31 --- E O F ---

#6 merzhausen

««
öffne die ini mit dem Texteditor + poste hier , was du dort findest (abkopieren)
C:\WINDOWS\wininit.ini

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ypagerps"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rvojmsvy]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjks32]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0CA7A778-23C4-481E-9424-B4534957E39E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BB39A1FB-F438-4B0D-9E6E-4FAE98E44488}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2BAD0253-E6F1-0EB1-50C6-08D1DF0D4119}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B9178E7E-E23D-4555-8F72-C4F9AC51C65A}]

File::
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\RCXB77.tmp
C:\WINDOWS\system32\RCX8EC.tmp
C:\WINDOWS\system32\RCXA36.tmp
C:\WINDOWS\system32\hlyvoyku.ini
C:\WINDOWS\005291_.tmp
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\dllcache\hwxjpn.dll

Folder::
C:\Programme\Rskuxeoz

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende combofix wieder an - tippe 1
poste das neue Log

»»
wende renv.exe an - nur anwenden + das log posten, bitte
http://www.virus-protect.org/artikel/tools/renvexe.html

---------

»»
poste das Log vom HijackThis
http://www.virus-protect.org/hjtkurz.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Hallo Pinguin,

- die ini-Datei C:\WINDOWS\wininit.ini finde ich nicht mehr.

- Hier ist logdatei von Combofix:

ComboFix 08-01-23.1C - Dung 2008-01-28 22:33:26.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.229 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dung\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Dung\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\WINDOWS\005291_.tmp
C:\WINDOWS\system32\dllcache\hwxjpn.dll
C:\WINDOWS\system32\hlyvoyku.ini
C:\WINDOWS\system32\RCX8EC.tmp
C:\WINDOWS\system32\RCXA36.tmp
C:\WINDOWS\system32\RCXB77.tmp
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\wininit.ini
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\005291_.tmp
C:\WINDOWS\system32\dllcache\hwxjpn.dll
C:\WINDOWS\system32\hlyvoyku.ini
C:\WINDOWS\system32\RCX8EC.tmp
C:\WINDOWS\system32\RCXA36.tmp
C:\WINDOWS\system32\RCXB77.tmp
C:\WINDOWS\wininit.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-28 ))))))))))))))))))))))))))))))
.

2008-01-27 22:19 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-27 20:49 . 2004-08-04 00:57 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-27 20:49 . 2004-08-04 00:57 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-27 14:43 . 2008-01-27 14:43 <DIR> d-------- C:\Programme\MSXML 6.0
2008-01-27 14:36 . 2008-01-27 14:36 8 --a------ C:\WINDOWS\system32\f03a1a1a
2008-01-26 22:31 . 2008-01-26 22:31 100,608 --a------ C:\WINDOWS\system32\drivers\avmaura.sys
2008-01-26 21:55 . 2008-01-26 21:55 <DIR> d-------- C:\Programme\MSBuild
2008-01-26 21:51 . 2008-01-26 21:57 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-01-26 21:50 . 2008-01-26 21:50 <DIR> d-------- C:\Programme\Reference Assemblies
2008-01-26 21:49 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-16 22:59 . 2008-01-16 22:59 <DIR> d-------- C:\Programme\Avira
2008-01-15 06:50 . 2008-01-26 22:37 4,696 --a------ C:\WINDOWS\imsins.BAK
2008-01-13 23:13 . 2008-01-14 21:41 <DIR> d-------- C:\Programme\Windows Defender
2008-01-13 22:26 . 2008-01-14 07:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-13 22:26 . 2008-01-13 22:26 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-13 17:43 . 2008-01-15 19:41 4,096 --a------ C:\WINDOWS\system32\crash
2008-01-02 21:30 . 2008-01-02 21:30 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-12-30 19:49 . 2007-12-30 19:49 <DIR> d-------- C:\Programme\DirectX Runtime for Nov2007
2007-12-30 19:13 . 2006-05-03 11:57 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-12-30 19:12 . 2007-12-30 20:05 <DIR> d-------- C:\Programme\ATI Technologies
2007-12-28 22:07 . 2007-12-28 22:07 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-12-28 21:50 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-12-28 21:50 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 21:55 --------- d-----w C:\Programme\Windows Media Connect 2
2008-01-16 22:17 --------- d-----w C:\Programme\SymNetDrv
2008-01-16 21:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-16 21:49 --------- d-----w C:\Programme\Norton AntiVirus
2008-01-05 21:49 --------- d-----w C:\Programme\DivX
2008-01-03 18:08 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-30 18:13 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-27 20:22 --------- d-----w C:\Programme\Secret Maryo Chronicles
2007-12-27 16:30 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
2007-12-27 16:28 --------- d-----w C:\Programme\Java
2007-12-27 16:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-27 12:25 --------- d-----w C:\Programme\EA GAMES
2007-12-27 11:12 --------- d-----w C:\Programme\Ahead
2007-12-27 11:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-12-20 15:28 --------- d-----w C:\Programme\SlySoft
2007-12-11 19:46 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

Code

<pre>
----a-w            45,056 2008-01-16 21:51:57  C:\Programme\ATI Technologies\ATI.ACE\cli .exe
----a-w            69,632 2008-01-22 20:17:04  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
----a-w           196,608 2008-01-22 20:17:04  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe
----a-w            58,992 2008-01-16 21:13:26  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp .exe
----a-w            36,975 2007-12-27 16:22:31  C:\Programme\Java\jre1.5.0_03\bin\jusched .exe
----a-w           132,496 2008-01-22 20:17:08  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w            65,536 2008-01-22 20:17:00  C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain .exe
----a-w           159,744 2008-01-27 13:32:05  C:\Programme\Saitek\Software\Profiler .exe
----a-w            98,304 2008-01-26 19:54:48  C:\Programme\Saitek\Software\SaiSmart .exe
----a-w            15,360 2008-01-27 19:50:26  C:\WINDOWS\system32\ctfmon .exe
</pre>

((((((((((((((((((((((((((((( snapshot@2008-01-27_22.35.37.25 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-27 21:20:29 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-28 21:32:52 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-27 21:20:29 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-28 21:32:52 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-27 21:20:29 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-28 21:32:52 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-27 21:20:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-28 21:32:53 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-27 21:20:32 6,598,656 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat
+ 2008-01-28 21:32:54 6,619,136 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat
- 2008-01-27 21:20:32 1,499,136 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-28 21:32:54 1,499,136 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2BAD0253-E6F1-0EB1-50C6-08D1DF0D4119}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B9178E7E-E23D-4555-8F72-C4F9AC51C65A}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [ ]
"AVMUSBFernanschluss"="C:\Dokumente und Einstellungen\Dung\Lokale Einstellungen\Apps\2.0\JK2BR9J9.E7B\YDDTH3O3.06J\frit..tion_f8d772dfbb3f7453_0002.0001_147a792107b9f781\AVMAutoStart.exe" [ ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ypagerps"="cmd.exe" [2004-08-04 00:57 401408 C:\WINDOWS\system32\cmd.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Keyboard driver "="C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe" [ ]
"Profiler"="C:\Programme\Saitek\Software\Profiler.exe" [ ]
"SaiSmart"="C:\Programme\Saitek\Software\SaiSmart.exe" [ ]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [ ]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [ ]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2007-11-17 16:21 98304]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [ ]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Dung\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-07 09:20:12 913408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rvojmsvy]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOW

R0 BsStor;B.H.A Storage Helper Driver;C:\WINDOWS\system32\drivers\BsStor.sys [2006-06-23 11:47]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-27 22:01]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2007-03-07 17:03]
R2 athsgt;athsgt;C:\WINDOWS\system32\DRIVERS\athsgt.sys [2007-01-06 21:34]
R2 limsgt;limsgt;C:\WINDOWS\system32\DRIVERS\limsgt.sys [2007-01-06 21:34]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-05-21 11:40]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-01-26 22:31]
S3 SaiHFF0C;SaiHFF0C;C:\WINDOWS\system32\DRIVERS\SaiHFF0C.sys [2004-06-11 10:59]
S3 SaiUFF0C;SaiUFF0C;C:\WINDOWS\system32\DRIVERS\SaiUFF0C.sys [2004-06-11 10:59]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-15 00:51:00 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-28 22:39:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-28 22:46:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-28 21:46:10
ComboFix2.txt 2008-01-27 22:05:10
ComboFix3.txt 2008-01-27 21:35:59
.
2008-01-27 13:43:31 --- E O F ---

Nach dem Ausführen von Combofix habe ich jetzt das Problem. Siehe bitte die angehängte Datei mit Spybot-Fenster. Das Fenster verschwindet nicht aus dem Bildschirm.

- Hier ist die logdatei von renv.exe:

Code

Ran on 28.01.2008 - 23:01:16,45

----a-w            45,056 2008-01-16 21:51:57  C:\Programme\ATI Technologies\ATI.ACE\cli .exe
----a-w            69,632 2008-01-22 20:17:04  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
----a-w           196,608 2008-01-22 20:17:04  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm .exe
----a-w            58,992 2008-01-16 21:13:26  C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp .exe
----a-w            36,975 2007-12-27 16:22:31  C:\Programme\Java\jre1.5.0_03\bin\jusched .exe
----a-w           132,496 2008-01-22 20:17:08  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w            65,536 2008-01-22 20:17:00  C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain .exe
----a-w           159,744 2008-01-27 13:32:05  C:\Programme\Saitek\Software\Profiler .exe
----a-w            98,304 2008-01-26 19:54:48  C:\Programme\Saitek\Software\SaiSmart .exe
----a-w            15,360 2008-01-27 19:50:26  C:\WINDOWS\system32\ctfmon .exe

 Entries:               10  (10)
 Directories:            0  Files:            10
 Bytes:            878,703  Blocks:        1,718

- Hier ist die logdatei von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:20, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Keyboard driver ] C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Dung\Lokale Einstellungen\Apps\2.0\JK2BR9J9.E7B\YDDTH3O3.06J\frit..tion_f8d772dfbb3f7453_0002.0001_147a792107b9f781\AVMAutoStart.exe
O4 - HKCU\..\RunOnce: [ypagerps] cmd.exe /C del "C:\Programme\Yahoo!\Messenger\ypagerps.dll"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193915748562
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198874933281
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)

--
End of file - 7850 bytes

Vielen Dank und viele Grüße
merzhausen

#8 ««
kommt die Warnung vom Spybot ???

---------------------------------------------------------

1.
Ziehe die erzeugte Reportdatei (Log.txt) auf RenV.exe


wende renv.exe noch mal an - poste das Log

2.
scanne mit bitdefender + poste den Report hier
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 Hallo Pinguin,

- das Log nach der Anwendung von renv.exe:

Code

Ran on 28.01.2008 - 23:46:38,73

 Entries:                0  (0)
 Directories:            0  Files:             0
 Bytes:                  0  Blocks:            0

- nach dem Scannen mit BitDefender:

BitDefender Online Scanner - Real Time Virus Report



Generated at: Tue, Jan 29, 2008 - 19:45:04
--------------------------------------------------------------------------------

Scan Info


Scanned Files
355713

Infected Files
758



Virus Detected

Trojan.Vundo.DVC
1

Generic.Otuboh.AC1F2626
4

Trojan.Mezzia.CY
2

Trojan.Dropper.Vundo.D
637

Trojan.Vundo.DUH
1

MemScan:Trojan.Mezzia.XC
2

Trojan.Vundo.DWK
3

Generic.Otuboh.821F7C37
2

Application.Tool.530
3

Application.Tool.531
3

Trojan.Vundo.DVO
9

Trojan.Zlob.CBN
5

Trojan.Vundo.DXB
1

Trojan.Vundo.DWB
3

Trojan.Vundo.DVS
82

--------------------------------------------------------------------------------


Scanned File
Status
C:\Dokumente und Einstellungen\Dung\.housecall6.6\Quarantine\njprckha2.exe.bac_a02148=>(Quarantine-4)
Detected with: Application.Tool.531

C:\Dokumente und Einstellungen\Dung\.housecall6.6\Quarantine\njprckha2.exe.bac_a02148=>(Quarantine-4)
Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\ctfmon.exe.tmp.vir
Infected with: Trojan.Dropper.Vundo.D

C:\QooBox\Quarantine\C\WINDOWS\system32\ctfmon.exe.tmp.vir
Disinfection failed

C:\QooBox\Quarantine\C\WINDOWS\system32\ctfmon.exe.tmp.vir
Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\wncnabkj\wncnabkj1.exe.vir
Detected with: Application.Tool.530

C:\QooBox\Quarantine\C\WINDOWS\system32\wncnabkj\wncnabkj1.exe.vir
Deleted

C:\QooBox\Quarantine\catchme2008-01-27_223051.42.zip=>mlljg.dll
Infected with: Trojan.Vundo.DWK

C:\QooBox\Quarantine\catchme2008-01-27_223051.42.zip=>mlljg.dll
Deleted

C:\QooBox\Quarantine\catchme2008-01-27_223051.42.zip
Updated

C:\System Volume Information\_restore{E03C4897-05C4-45F1-B399-D39AA9CBFFC7}\RP196\A0044454.ini
Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{E03C4897-05C4-45F1-B399-D39AA9CBFFC7}\RP196\A0044454.ini
Disinfection failed
..
..

#10 merzhausen

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

»»
lade die Combofix neu + post den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Hallo Pinguin,

[u]Das Log von Combofix:[/u]

ComboFix 08-01-30.1 - Dung 2008-01-29 22:36:34.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.195 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dung\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 ))))))))))))))))))))))))))))))
.

2008-01-28 23:50 . 2008-01-29 19:45 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-01-27 20:49 . 2008-01-27 20:50 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-27 20:49 . 2008-01-27 20:50 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-27 14:43 . 2008-01-27 14:43 <DIR> d-------- C:\Programme\MSXML 6.0
2008-01-27 14:36 . 2008-01-27 14:36 8 --a------ C:\WINDOWS\system32\f03a1a1a
2008-01-26 22:31 . 2008-01-26 22:31 100,608 --a------ C:\WINDOWS\system32\drivers\avmaura.sys
2008-01-26 21:55 . 2008-01-26 21:55 <DIR> d-------- C:\Programme\MSBuild
2008-01-26 21:51 . 2008-01-26 21:57 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-01-26 21:50 . 2008-01-26 21:50 <DIR> d-------- C:\Programme\Reference Assemblies
2008-01-26 21:49 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-16 22:59 . 2008-01-16 22:59 <DIR> d-------- C:\Programme\Avira
2008-01-16 22:59 . 2008-01-16 22:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-15 21:49 . 2008-01-15 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-15 06:50 . 2008-01-26 22:37 4,696 --a------ C:\WINDOWS\imsins.BAK
2008-01-13 23:13 . 2008-01-14 21:41 <DIR> d-------- C:\Programme\Windows Defender
2008-01-13 22:26 . 2008-01-14 07:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-13 22:26 . 2008-01-13 22:26 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-13 17:43 . 2008-01-15 19:41 4,096 --a------ C:\WINDOWS\system32\crash
2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe
2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini
2008-01-02 21:30 . 2008-01-02 21:30 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-12-30 20:13 . 2007-12-30 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\Dung\Anwendungsdaten\ATI
2007-12-30 19:49 . 2007-12-30 19:49 <DIR> d-------- C:\Programme\DirectX Runtime for Nov2007
2007-12-30 19:13 . 2006-05-03 11:57 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-12-30 19:12 . 2007-12-30 20:05 <DIR> d-------- C:\Programme\ATI Technologies
2007-12-28 22:07 . 2007-12-28 22:07 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-12-28 21:50 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-12-28 21:50 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-12-27 17:31 . 2007-12-27 17:30 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-12-27 17:30 . 2007-12-27 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\Dung\.housecall6.6
2007-12-27 17:28 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-27 17:19 . 2007-12-27 17:19 <DIR> d-------- C:\WINDOWS\Sun
2007-12-27 17:18 . 2007-12-27 17:28 <DIR> d-------- C:\Programme\Java
2007-12-27 17:17 . 2007-12-27 17:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-12-27 11:22 . 2007-12-27 11:22 <DIR> d-------- C:\WINDOWS\system32\de
2007-12-27 11:22 . 2007-12-27 14:10 <DIR> d-------- C:\WINDOWS\system32\bits
2007-12-27 11:22 . 2007-12-27 11:22 <DIR> d-------- C:\WINDOWS\l2schemas
2007-12-27 11:15 . 2007-08-10 20:44 33,656 --a------ C:\WINDOWS\system32\sprecovr.exe
2007-12-27 11:10 . 2007-04-18 17:13 2,854,400 --a------ C:\WINDOWS\system32\msi.dll
2007-12-20 16:11 . 2007-12-20 16:28 <DIR> d-------- C:\Programme\SlySoft
2007-12-19 08:06 . 2007-12-19 08:08 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\FRITZ!
2007-12-14 22:06 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2007-12-14 21:02 . 2007-12-14 21:02 <DIR> d-------- C:\Dokumente und Einstellungen\Dung\Anwendungsdaten\AD ON Multimedia
2007-12-11 20:46 . 2007-12-11 20:46 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 20:46 . 2007-12-11 20:46 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-12-11 20:46 . 2007-12-11 20:46 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2007-12-11 20:46 . 2007-12-11 20:46 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2007-12-11 20:45 . 2007-12-11 20:45 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 20:45 . 2007-12-11 20:45 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 20:43 . 2007-12-11 20:43 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-11 20:43 . 2007-12-11 20:43 8,523 --a------ C:\WINDOWS\system32\dpude.qm
2007-12-11 20:43 . 2007-12-11 20:43 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-28 22:55 --------- d-----w C:\Dokumente und Einstellungen\Dung\Anwendungsdaten\FRITZ!
2008-01-28 22:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-24 20:49 --------- d--h--r C:\Dokumente und Einstellungen\Dung\Anwendungsdaten\yahoo!
2008-01-24 20:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-01-19 21:55 --------- d-----w C:\Programme\Windows Media Connect 2
2008-01-18 14:25 --------- d-----w C:\Dokumente und Einstellungen\Dung\Anwendungsdaten\Canon
2008-01-16 22:17 --------- d-----w C:\Programme\SymNetDrv
2008-01-16 21:49 --------- d-----w C:\Programme\Norton AntiVirus
2008-01-16 21:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-05 22:01 --------- d-----w C:\Dokumente und Einstellungen\Dung\Anwendungsdaten\Skype
2008-01-05 21:49 --------- d-----w C:\Programme\DivX
2008-01-03 18:08 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-30 18:13 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-27 20:22 --------- d-----w C:\Programme\Secret Maryo Chronicles
2007-12-27 12:25 --------- d-----w C:\Programme\EA GAMES
2007-12-27 11:12 --------- d-----w C:\Programme\Ahead
2007-12-27 11:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-12-25 16:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-12-20 15:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-12-11 19:46 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-12-11 19:46 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-12-11 19:46 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-12-11 19:46 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-11 19:44 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-11 19:44 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-12-11 19:44 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-11 19:44 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-12-11 19:44 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-12-11 19:44 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-12-11 19:44 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-12-11 19:44 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-12-11 19:44 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-12-11 19:44 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-12-11 19:44 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-11 19:44 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-12-01 01:48 7,680 ----a-w C:\WINDOWS\system32\spdwnwxp.exe
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-10 23:46 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-07-10 16:40 66,592 ----a-w C:\Dokumente und Einstellungen\Dung\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-01-27 20:50 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2007-11-17 16:21 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-01-27 20:50 15360]

C:\Dokumente und Einstellungen\Dung\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-07 09:20:12 913408]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOW

R0 BsStor;B.H.A Storage Helper Driver;C:\WINDOWS\system32\drivers\BsStor.sys [2006-06-23 11:47]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-27 22:01]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2007-03-07 17:03]
R2 athsgt;athsgt;C:\WINDOWS\system32\DRIVERS\athsgt.sys [2007-01-06 21:34]
R2 limsgt;limsgt;C:\WINDOWS\system32\DRIVERS\limsgt.sys [2007-01-06 21:34]
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-05-21 11:40]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-01-26 22:31]
S3 SaiHFF0C;SaiHFF0C;C:\WINDOWS\system32\DRIVERS\SaiHFF0C.sys [2004-06-11 10:59]
S3 SaiUFF0C;SaiUFF0C;C:\WINDOWS\system32\DRIVERS\SaiUFF0C.sys [2004-06-11 10:59]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-15 00:51:00 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 22:39:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-30 22:40:50
ComboFix2.txt 2008-01-28 21:46:14
.
2008-01-27 13:43:31 --- E O F ---
[u][/u][u][/u][u][/u][u]
Grüße
merzhausen[/u]

#12

nun, es müsste wieder alles o.k. sein...dennoch lade fprot (14 Tage frei) - scanne + poste hier den report
http://www.virus-protect.org/artikel/tools/fprotwindows.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 Hallo Pinguin,

vielen, vielen Dank für Deine Hilfe.

Grüße
merzhausen