Malware (Privacy Protector, Spyware&Malware Protection)

#1 Hallo

War schon mal hier bei einem ähnlichen Problem und schon damals super beraten worden.

Hab mir wohl wieder einmal Malware eingefangen auf jedenfall öffnen sich dauernd Pop ups mit Virenprogramm werbung und ähnlichem. Hab da diese Symbole auf dem Desktop: Privacy "Protector" und "Spyware&Malware Protection" Ich nehm jetzt mal an das dies die bösen Buben sind...

Hier also mein Hijackthis file ich hoffe ihr könnt mir wieder helfen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:52, on 22.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\LogMeIn\x86\RaMaint.exe
C:\Programme\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\winadm.exe
C:\Programme\LogMeIn\x86\LogMeInSystray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Admin\Desktop\mouse.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\winadmd.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://deutsch.ircfast2.com/index.php?mid=1418117284&sid=12119&c=CH
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SXG Advisor - {5257F0D5-2868-4758-94D3-E268EB6D43C5} - C:\WINDOWS\dopfwrlvtq.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: The egodktf - {4288B655-63B4-4817-BB1E-B6F3E242234F} - C:\WINDOWS\egodktf.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Miro] C:\Programme\Participatory Culture Foundation\Miro\Miro.exe
O4 - HKCU\..\Run: [mouse-o-meter] C:\Dokumente und Einstellungen\Admin\Desktop\mouse.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/229?f18c54103ee8498ea64e237cecb0bfe5
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/230?f18c54103ee8498ea64e237cecb0bfe5
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.ch/static/download/pixacodndupload.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://selinawirth141993.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://selinawirth06.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O21 - SSODL: bxsnvqt - {EA6EDD1E-E7DD-4383-B92E-BD8D8A94A5D8} - C:\WINDOWS\bxsnvqt.dll
O21 - SSODL: aslpmqk - {27F984DE-DE1B-4C24-A486-9F36941535B2} - C:\WINDOWS\aslpmqk.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 9019 bytes

#2 tight hand

poste bitte das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Danke für die schnelle Antwort...

kann das Logfile leider erst morgen erstellen...


bis dann

#4 hast du es schon erstellt, inzwischen ?
Lade bitte nur die "Alternative" - irgendwas mit der ofiziellen Vesrion stimmt zur Zeit nicht ..kein Internet usw... Nimm also die Alternative
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Guten Morgen,
ich habe folgendes Problem:
mein Bekannter hat sich auf seinem Laptop (Yakumo, mobile AMD Athlon XP 2200+, WIN XP Home 2002 + SP2) unheimlich viele Viren, trojaner etc. eingefangen! "System defender" hab ich - glaub und hoffe ich - schon am ersten Tag entfernt (mit SmitFraudFix und HiJackThis!). Aber die Seuche mit "privacy protection, MalWareCleaner" kam nach ein paar Stunden ausgeschaltetem PC wieder. Hab auch nochmal gegoogelt und ComboFix drüber laufen und die Log-Datei unten beigepackt. Könntet Ihr das mal kontrollieren bitte und wenn dann Bescheid geben, ob Ihr da noch irgendwo Viren o.ä. seht? Vielen Dank im voraus.

Der Flo




ComboFix 08-01-31.3 - frank 2008-01-31 6:48:38.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.110 [GMT 1:00]
ausgeführt von:: E:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\.protected
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\frank\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\frank\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\frank\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\frank\Eigene Dateien\Eigene Musik\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\frank\Eigene Dateien\Eigene Musik\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\frank\Eigene Dateien\Eigene Musik\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\frank\ResErrors.log
C:\UGA6P
C:\WINDOWS\dat.txt
C:\WINDOWS\regedit.com
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\drivers\etc\.protected
C:\WINDOWS\system32\taskmgr.com

----- BITS: Possible infected sites -----

Code

hxxp://onsafepro.com
hxxp://softworldnetwork.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_FMTR
-------\LEGACY_NPF
-------\fmtr


((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-31 ))))))))))))))))))))))))))))))
.

2008-01-30 08:06 . 2008-01-30 08:07 <DIR> d-------- C:\downloads
2008-01-29 13:58 . 2008-01-30 08:32 <DIR> d-------- C:\Programme\AutoSizer
2008-01-29 09:40 . 2008-01-29 09:40 <DIR> d-------- C:\Programme\ClearProg
2008-01-29 09:35 . 2008-01-30 06:50 <DIR> d-------- C:\Not-OP Windrich
2008-01-29 09:14 . 2008-01-30 06:58 1,974 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 09:13 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 09:13 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 09:13 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 09:13 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 09:13 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 09:13 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 08:56 . 2008-01-29 08:56 <DIR> d-------- C:\Programme\CCleaner
2008-01-29 08:09 . 2008-01-31 06:44 <DIR> d-------- C:\Hijackthis
2008-01-27 11:34 . 2008-01-27 11:34 <DIR> d-------- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\SystemDefender
2008-01-24 17:21 . 2008-01-24 15:54 331,776 --a------ C:\WINDOWS\bqxomdo.dll
2008-01-24 17:21 . 2008-01-24 15:54 294,912 --a------ C:\WINDOWS\aswmklt.dll
2008-01-24 17:21 . 2008-01-24 15:55 204,800 --a------ C:\WINDOWS\elfwgps.dll
2008-01-24 17:21 . 2008-01-24 15:55 151,552 --a------ C:\WINDOWS\fvqkfsp.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 09:14 --------- d-----w C:\Programme\ewido anti-malware
2008-01-29 11:25 --------- d-----w C:\Programme\PCSecureSystem
2007-10-30 18:11 189,984 ----a-w C:\Dokumente und Einstellungen\frank\Anwendungsdaten\install_en[1].exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2002-01-12 04:43 401496]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 08:13 68856]
"AutoSizer"="C:\Programme\AutoSizer\AutoSizer.exe" [2008-01-29 13:58 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-08-09 13:39 183352]
"Lexmark 3100 Series"="C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" [2003-09-04 03:43 106496]
"LXBRKsk"="C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe" [2003-06-13 15:57 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"aswmklt"= {3392B56B-7C7D-4A6E-9BFC-5C39A432CB97} - C:\WINDOWS\aswmklt.dll [2008-01-24 15:54 294912]
"bqxomdo"= {F07D9FC3-A1E4-482F-A9F6-ED5905C882EA} - C:\WINDOWS\bqxomdo.dll [2008-01-24 15:54 331776]

R1 ewido security suite driver;ewido security suite driver;C:\Programme\ewido anti-malware\guard.sys [2005-12-30 12:12]
R2 Ndiskio;Ndiskio;c:\norman\nse\bin\ndiskio.sys [2007-01-02 09:55]
R3 AVMBTSERIAL;AVM Bluetooth Serial Port;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2003-01-16 01:00]
R3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-11-08 01:00]
R3 NETBFPAN;AVM Bluetooth PAN Adapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2003-01-16 01:00]
R3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2007-09-06 09:45]
R3 nvcoas;Norman Virus Control on-access component;C:\NORMAN\Nvc\BIN\nvcoas.exe [2007-12-12 11:45]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\NORMAN\Nvc\BIN\NVCSCHED.EXE [2007-05-23 12:23]
S2 Ca536av;DV 4100M(Video);C:\WINDOWS\system32\Drivers\Ca536av.sys [2003-09-05 12:47]
S3 BFUBASE;BlueFRITZ! USB (WinXP/2000);C:\WINDOWS\system32\DRIVERS\bfubase.sys [2003-01-16 01:00]
S3 fxusbase;Teledat X120 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2001-11-08 01:00]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2004-08-12 08:30]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS []
S3 nvcfsr;nvcfsr;C:\NORMAN\Nvc\BIN\nvcfsr.sys [2007-01-09 14:25]
S3 nvcoafl51;nvcoafl51;C:\NORMAN\Nvc\BIN\nvcoafl51.sys [2007-01-09 14:25]
S3 nvcoaft51;nvcoaft51;C:\NORMAN\Nvc\BIN\nvcoaft51.sys [2007-01-09 14:25]
S3 nvcoarc51;nvcoarc51;C:\NORMAN\Nvc\BIN\nvcoarc51.sys [2007-01-09 14:25]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S3 USBCamera;DV 4100M(Still);C:\WINDOWS\system32\Drivers\Bulk536.sys [2003-05-14 16:28]
S3 WLAN11;IEEE 802.11 Wireless LAN PC Card Win2K Driver;C:\WINDOWS\system32\DRIVERS\WLAN11k.sys [2001-05-16 14:43]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-11 15:00:01 C:\WINDOWS\Tasks\{4A9DE7D2-9426-462C-9CFE-2BC6B5486AA9}_FRANK_frank.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-01-31 05:41:11 C:\WINDOWS\Tasks\{4BCFE478-FA83-4D1A-9C31-AC84166C30EC}_FRANK_frank.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-01-29 08:00:07 C:\WINDOWS\Tasks\{B1650126-AE6F-453E-9D20-CE1DCD22CB37}_FRANK_frank.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-31 06:54:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\bqxomdo.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Norman\Npm\bin\ZLH.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\Nvc\bin\cclaw.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-31 6:58:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-31 05:58:43
.
2007-12-12 15:47:12 --- E O F ---

#6 flopsiran

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"aswmklt"=-
"bqxomdo"=-

File::
C:\Dokumente und Einstellungen\frank\Anwendungsdaten\install_en[1].exe
C:\WINDOWS\bqxomdo.dll
C:\WINDOWS\aswmklt.dll
C:\WINDOWS\elfwgps.dll
C:\WINDOWS\fvqkfsp.exe

Folder::
C:\Programme\PCSecureSystem
C:\Dokumente und Einstellungen\frank\Anwendungsdaten\SystemDefender

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende Combofix wieder an - tippe 1


««
poste das neue log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Hab ich versucht mit dem Draufziehen der txt-Datei. Da öffnet sich ein Kontextmenü "Öffnen mit...", danach startet ComboFix zwar, sagt aber dann "You cannot rename ComboFix as ComboFix..." Was mach ich falsch?

Gruß Flo

#8 ««
hast du die cfscript.txt abgespeichert unter "Alle Dateien" ? oder nur als Textdatei


__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 Unter "Alle Dateien", aber da war unten drunter noch eine Abfrage mit ANSI etc. Hat das vielleicht da was mit zu tun?

#10 speichere es genauso, wie auf meinem Screen abgebildet.


__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Aah! Hab es nochmal kopiert und jetzt scheint es zu funktionieren! Kleinen Moment nochmal!

#12 poste das neue Log hier ..........
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 So, unten jetzt das neue Log!
Ich hab da gleich NOCH eine Frage: Seit ich ComboFix das erste Mal ausgeführt habe, fragt die Windows-Firewall bei jedem Neustart immer wieder nach, ob sie den Connection Manager (glaub ich, dass es der war) weiterhin blockieren soll. Ist das authentisch oder schon wieder Virus, Trojaner etc.?

Gruß Flo
-------------------------

ComboFix 08-01-31.3 - frank 2008-01-31 9:21:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.285 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frank\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\frank\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Dokumente und Einstellungen\frank\Anwendungsdaten\install_en[1].exe
C:\WINDOWS\aswmklt.dll
C:\WINDOWS\bqxomdo.dll
C:\WINDOWS\elfwgps.dll
C:\WINDOWS\fvqkfsp.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\frank\Anwendungsdaten\install_en[1].exe
C:\Dokumente und Einstellungen\frank\Anwendungsdaten\SystemDefender
C:\Programme\PCSecureSystem
C:\Programme\PCSecureSystem\Activate.exe
C:\Programme\PCSecureSystem\Config\pgs.xml
C:\Programme\PCSecureSystem\Dat\Activate.dat
C:\Programme\PCSecureSystem\Dat\BkSites.dat
C:\Programme\PCSecureSystem\Dat\bnlink.dat
C:\Programme\PCSecureSystem\Dat\incmp.dat
C:\Programme\PCSecureSystem\Dat\index.dat
C:\Programme\PCSecureSystem\Dat\PGUpLst.dat
C:\Programme\PCSecureSystem\Dat\pv.dat
C:\Programme\PCSecureSystem\Engines\AWBase\database\enemies.dat
C:\Programme\PCSecureSystem\Engines\AWBase\vbpv.dat
C:\Programme\PCSecureSystem\Engines\PGBase\vbpv.dat
C:\Programme\PCSecureSystem\Engines\plugins\BORLNDMM.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANADWR.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANBCDR.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANDLDR.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANDOS1.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANEMUL.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANFUNC.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANKRNL.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANMCR1.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANOTHR.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANSCR.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANTOOL.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANTROJ.DLL
C:\Programme\PCSecureSystem\Engines\plugins\SCANWIN1.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UNACPU.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UNADBX.DLL
C:\Programme\PCSecureSystem\Engines\plugins\unamscan.dll
C:\Programme\PCSecureSystem\Engines\plugins\UNMIME.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UNPACK.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UNPACKS.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UNPACKS2.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UNPEPACK.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UpDate\UA27601.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UpDate\UA27602.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UpDate\UA27603.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UpDate\UA27604.DLL
C:\Programme\PCSecureSystem\Engines\plugins\UpDate\UADAILY.DLL
C:\Programme\PCSecureSystem\Engines\plugins\vbpv.dat
C:\Programme\PCSecureSystem\FMTR.sys
C:\Programme\PCSecureSystem\FWSettings.bin
C:\Programme\PCSecureSystem\Graphics\cross.gif
C:\Programme\PCSecureSystem\Graphics\ga6p.gif
C:\Programme\PCSecureSystem\Graphics\kb.url
C:\Programme\PCSecureSystem\Graphics\main.ico
C:\Programme\PCSecureSystem\Graphics\mini.ico
C:\Programme\PCSecureSystem\Graphics\Online.url
C:\Programme\PCSecureSystem\Graphics\rm.url
C:\Programme\PCSecureSystem\Graphics\support.ico
C:\Programme\PCSecureSystem\Graphics\Support.url
C:\Programme\PCSecureSystem\Graphics\uninstall.ico
C:\Programme\PCSecureSystem\history.db
C:\Programme\PCSecureSystem\LA\lapv.dat
C:\Programme\PCSecureSystem\LA\License.rtf
C:\Programme\PCSecureSystem\pgs.exe
C:\Programme\PCSecureSystem\ResErrors.log
C:\Programme\PCSecureSystem\scnkrnl.dll
C:\Programme\PCSecureSystem\settings.ini
C:\Programme\PCSecureSystem\sqlite3.dll
C:\Programme\PCSecureSystem\sr.log
C:\Programme\PCSecureSystem\Tools\IEFWBHO.dll
C:\Programme\PCSecureSystem\unins000.dat
C:\Programme\PCSecureSystem\unins000.exe
C:\Programme\PCSecureSystem\Up\ASupdater.dat
C:\Programme\PCSecureSystem\Up\diagnosis.dat
C:\Programme\PCSecureSystem\Up\gup.exe
C:\Programme\PCSecureSystem\Up\PGupdater.dat
C:\Programme\PCSecureSystem\Up\UBupdater.dat
C:\Programme\PCSecureSystem\Up\up.dat
C:\Programme\PCSecureSystem\Up\updater.dat
C:\WINDOWS\aswmklt.dll
C:\WINDOWS\bqxomdo.dll
C:\WINDOWS\elfwgps.dll
C:\WINDOWS\fvqkfsp.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-31 ))))))))))))))))))))))))))))))
.

2008-01-30 08:06 . 2008-01-30 08:07 <DIR> d-------- C:\downloads
2008-01-29 13:58 . 2008-01-30 08:32 <DIR> d-------- C:\Programme\AutoSizer
2008-01-29 09:40 . 2008-01-29 09:40 <DIR> d-------- C:\Programme\ClearProg
2008-01-29 09:35 . 2008-01-30 06:50 <DIR> d-------- C:\Not-OP Windrich
2008-01-29 09:14 . 2008-01-30 06:58 1,974 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 09:13 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 09:13 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 09:13 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 09:13 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 09:13 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 09:13 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 08:56 . 2008-01-29 08:56 <DIR> d-------- C:\Programme\CCleaner
2008-01-29 08:09 . 2008-01-31 06:44 <DIR> d-------- C:\Hijackthis

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 09:14 --------- d-----w C:\Programme\ewido anti-malware
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2002-01-12 04:43 401496]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 08:13 68856]
"AutoSizer"="C:\Programme\AutoSizer\AutoSizer.exe" [2008-01-29 13:58 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norman ZANDA"="C:\Norman\Npm\bin\ZLH.exe" [2007-08-09 13:39 183352]
"Lexmark 3100 Series"="C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" [2003-09-04 03:43 106496]
"LXBRKsk"="C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe" [2003-06-13 15:57 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

R1 ewido security suite driver;ewido security suite driver;C:\Programme\ewido anti-malware\guard.sys [2005-12-30 12:12]
R2 Ndiskio;Ndiskio;c:\norman\nse\bin\ndiskio.sys [2007-01-02 09:55]
R3 AVMBTSERIAL;AVM Bluetooth Serial Port;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2003-01-16 01:00]
R3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-11-08 01:00]
R3 NETBFPAN;AVM Bluetooth PAN Adapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2003-01-16 01:00]
R3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2007-09-06 09:45]
R3 nvcoas;Norman Virus Control on-access component;C:\NORMAN\Nvc\BIN\nvcoas.exe [2007-12-12 11:45]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\NORMAN\Nvc\BIN\NVCSCHED.EXE [2007-05-23 12:23]
S2 Ca536av;DV 4100M(Video);C:\WINDOWS\system32\Drivers\Ca536av.sys [2003-09-05 12:47]
S3 BFUBASE;BlueFRITZ! USB (WinXP/2000);C:\WINDOWS\system32\DRIVERS\bfubase.sys [2003-01-16 01:00]
S3 fxusbase;Teledat X120 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2001-11-08 01:00]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2004-08-12 08:30]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS []
S3 nvcfsr;nvcfsr;C:\NORMAN\Nvc\BIN\nvcfsr.sys [2007-01-09 14:25]
S3 nvcoafl51;nvcoafl51;C:\NORMAN\Nvc\BIN\nvcoafl51.sys [2007-01-09 14:25]
S3 nvcoaft51;nvcoaft51;C:\NORMAN\Nvc\BIN\nvcoaft51.sys [2007-01-09 14:25]
S3 nvcoarc51;nvcoarc51;C:\NORMAN\Nvc\BIN\nvcoarc51.sys [2007-01-09 14:25]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S3 USBCamera;DV 4100M(Still);C:\WINDOWS\system32\Drivers\Bulk536.sys [2003-05-14 16:28]
S3 WLAN11;IEEE 802.11 Wireless LAN PC Card Win2K Driver;C:\WINDOWS\system32\DRIVERS\WLAN11k.sys [2001-05-16 14:43]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-11 15:00:01 C:\WINDOWS\Tasks\{4A9DE7D2-9426-462C-9CFE-2BC6B5486AA9}_FRANK_frank.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-01-31 05:41:11 C:\WINDOWS\Tasks\{4BCFE478-FA83-4D1A-9C31-AC84166C30EC}_FRANK_frank.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-01-29 08:00:07 C:\WINDOWS\Tasks\{B1650126-AE6F-453E-9D20-CE1DCD22CB37}_FRANK_frank.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-31 09:29:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\Programme\AutoSizer\AutoSizer.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Norman\Npm\bin\ZLH.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Norman\Npm\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Norman\Nvc\bin\cclaw.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-31 9:35:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-31 08:34:31
ComboFix2.txt 2008-01-31 06:44:59
ComboFix3.txt 2008-01-31 05:58:57
.
2007-12-12 15:47:12 --- E O F ---

#14 flopsiran

«
Combofix wird immer von der Firewall + manchmal von den Virenscannern hinterfragt, lasse es zu , es ist kein Virus

«
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
lade Counterspy, scanne + lasse alles gefundene entfernen + poste den Report
http://www.virus-protect.org/counterspy1.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 ««
wende vorher noch smitfraudfix an - poste hier beide logs
http://www.virus-protect.org/artikel/tools/smitfrautfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/