Windows Security alert (Pop-ups), kann sich das mal jemand ansehen? "2"

#0
24.01.2008, 22:45
...neu hier

Beiträge: 4
#1 http://board.protecus.de/t30990.htm

Zitat

Hi,


Bitte folgende Files prüfen:

Zitat:
C:\WINDOWS\msmhost.dll
C:\WINDOWS\msmdev.dll
C:\WINDOWS\nsduo.dll
C:\WINDOWS\system32\cscript.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen.

Poste die jeweiligen Ergebnisse mit Filename!

Falls die Files erkannt werden, wie folgt weitermachen:
Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script


Zitat:

Files to delete:
C:\WINDOWS\msmhost.dll
C:\WINDOWS\msmdev.dll
C:\WINDOWS\nsduo.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: MSVPS System - {3CB70CC2-303F-4A6C-824D-013AE8CFDB6B} - C:\WINDOWS\nsduo.dll
O21 - SSODL: msmhost - {FEB2CFAC-E2A7-47ED-AF73-4D27ECC3A3D2} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {3FF49855-4F18-41AD-A317-74A3B11E5234} - C:\WINDOWS\msmdev.dll



Poste die Logs, zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Poste auch dieses Log, aber ohne die Cookie-Meldungen...

Chris
Das ist meiner

Logfile of HijackThis v1.99.1
Scan saved at 22:37:05, on 24.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira Premium Security Suite\sched.exe
C:\Programme\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira Premium Security Suite\avesvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Avira Premium Security Suite\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Dokumente und Einstellungen\Salih\Desktop\avenger.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Salih\Eigene Dateien\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Programme\Babylon\Babylon Toolbar\BabylonIEToolBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvmud.dll,startup
O4 - HKLM\..\Run: [MSDrive] rundll32.exe C:\WINDOWS\system32\drvlab.dll,startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: NetTurbo.lnk = C:\Programme\SharewareOnline.com\NetTurbo\NetTurbo.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - AVIRA GmbH - C:\Programme\Avira Premium Security Suite\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira Premium Security Suite MailGuard helper service (AVEService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avesvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Print Spooler Service (wu87a44esgu07iab) - Unknown owner - C:\WINDOWS\system32\bhp.exe (file missing)


könnt ihr mir auch die Code sagen, was ich alles mit hilfe Avenger löschen soll?
Seitenanfang Seitenende
24.01.2008, 23:53
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo sas

1.
wende bitte Combofix an - poste hier den Report
http://www.virus-protect.org/artikel/tools/combofix.html

2.
regsearch
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Print Spooler Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.01.2008, 14:09
...neu hier

Themenstarter

Beiträge: 4
#3 Combofix

Zitat

ComboFix 08-01-23.1C - Salih 2008-01-25 13:45:04.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.548 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Salih\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\FF.dll
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Programme\outerinfo\OinUninstall.exe
C:\Programme\outerinfo\OiUninstaller.exe
C:\Programme\outerinfo\Outerinfo.dll
C:\Programme\outerinfo\Outerinfo.exe
C:\Programme\outerinfo\outerinfo.ico
C:\Programme\outerinfo\OuterinfoUpdate.exe
C:\Programme\outerinfo\Terms.rtf
C:\WINDOWS\system32\_000111_.tmp.dll
C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\abeeg.ini2
C:\WINDOWS\system32\drvlabr.dll
C:\WINDOWS\system32\geeba.dll
C:\WINDOWS\system32\iifebyx.dll
C:\WINDOWS\system32\opnljkl.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-25 bis 2008-01-25 ))))))))))))))))))))))))))))))
.

2008-01-25 12:51 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-24 21:36 . 2008-01-24 22:05 2,588 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-24 21:35 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-24 21:35 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-24 21:35 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-24 21:35 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-24 21:35 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-24 21:35 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-24 21:21 . 2008-01-24 21:21 <DIR> d-------- C:\Programme\Schneider Infosystems
2008-01-24 19:34 . 2008-01-24 19:34 103,936 --a------ C:\WINDOWS\system32\drvlab.dll
2008-01-24 19:34 . 2008-01-24 19:34 18,944 --a------ C:\WINDOWS\system32\drvmud.dll
2008-01-24 19:05 . 2008-01-24 19:36 <DIR> d-------- C:\Programme\Spyware Doctor
2008-01-24 19:05 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-24 19:05 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-24 19:05 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-24 19:05 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-24 18:11 . 2008-01-24 18:35 <DIR> d-------- C:\BMW M3 Challenge
2008-01-23 22:53 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-23 20:00 . 2008-01-24 17:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-23 20:00 . 2008-01-23 20:00 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-23 15:17 . 2008-01-23 15:11 131,072 --a------ C:\WINDOWS\system32\lyg.exe
2008-01-23 10:27 . 2008-01-23 10:27 <DIR> d--h----- C:\WINDOWS\PIF
2008-01-21 17:51 . 2004-01-14 02:10 163,840 --a------ C:\WINDOWS\BJPSUNST.EXE
2008-01-21 17:49 . 2008-01-21 17:49 0 --a------ C:\WINDOWS\OpPrintServer.INI
2008-01-21 17:46 . 2004-04-23 06:00 116,736 --a------ C:\WINDOWS\system32\CNMLM5y.DLL
2008-01-21 17:46 . 2004-03-11 17:06 86,016 -ra------ C:\WINDOWS\system32\CNMCP5y.exe
2008-01-21 17:46 . 2004-04-23 06:00 7,680 --a------ C:\WINDOWS\system32\CNMVS5y.DLL
2008-01-21 17:45 . 2008-01-21 17:45 <DIR> d-------- C:\WINDOWS\StartHtmico
2008-01-21 17:45 . 2008-01-21 17:46 <DIR> d-------- C:\WINDOWS\IP1500
2008-01-21 17:45 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-01-21 17:45 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-01-21 17:44 . 2008-01-21 17:51 <DIR> d-------- C:\Programme\Canon
2008-01-21 16:45 . 2008-01-21 21:04 <DIR> d-------- C:\Programme\Valve
2008-01-21 16:27 . 2008-01-21 16:29 <DIR> d-------- C:\Programme\ABBYY FineReader 8.0 Professional Edition
2008-01-21 16:18 . 2008-01-21 16:19 <DIR> d-------- C:\Temp\FR80PE
2008-01-21 11:38 . 2008-01-21 11:38 <DIR> d-------- C:\Programme\SharewareOnline.com
2008-01-21 11:37 . 1997-12-17 18:33 304,128 --a------ C:\WINDOWS\IsUninst.exe
2008-01-20 21:13 . 2008-01-20 21:14 <DIR> d-------- C:\Programme\Nero
2008-01-20 21:13 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll
2008-01-20 20:47 . 2008-01-20 20:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2008-01-20 20:31 . 2008-01-20 20:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-20 20:31 . 2008-01-20 20:31 <DIR> d-------- C:\Programme\AVSMedia
2008-01-20 18:06 . 2008-01-20 18:06 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-01-20 11:38 . 2008-01-20 11:56 <DIR> d-------- C:\Programme\ElcomSoft
2008-01-20 11:38 . 2008-01-20 11:55 1,217 --a------ C:\WINDOWS\ARCHPR.INI
2008-01-20 01:08 . 2008-01-24 22:33 <DIR> d-------- C:\Documents and Settings
2008-01-20 00:09 . 2008-01-20 00:09 <DIR> d-------- C:\Programme\BocekYazilim
2008-01-19 20:34 . 2008-01-20 15:33 <DIR> d-------- C:\Programme\18 WoS Pedal to the Metal
2008-01-18 14:35 . 2008-01-24 20:46 <DIR> d-------- C:\Programme\AdVantage
2008-01-18 14:34 . 2008-01-18 14:35 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-01-18 13:30 . 2008-01-18 15:09 <DIR> d-------- C:\Programme\GSC Game World
2008-01-18 13:09 . 2008-01-18 13:09 <DIR> d-------- C:\Programme\Alcohol Soft
2008-01-18 12:03 . 2008-01-24 19:07 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-18 12:01 . 2008-01-18 12:01 <DIR> d-------- C:\Programme\Ahead
2008-01-18 12:01 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll
2008-01-18 12:01 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll
2008-01-18 12:01 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll
2008-01-18 12:01 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll
2008-01-18 12:01 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-01-18 12:01 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-01-17 16:49 . 2002-09-09 16:58 4,296,704 -ra------ C:\WINDOWS\una2setup.exe
2008-01-17 16:30 . 2008-01-18 13:56 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-16 16:10 . 2008-01-16 16:10 <DIR> d-------- C:\MFT 10308
2008-01-15 21:24 . 2008-01-15 21:25 <DIR> d-------- C:\Programme\Microsoft AutoRoute
2008-01-15 21:22 . 2008-01-15 21:22 <DIR> d-------- C:\Programme\Encarta
2008-01-15 21:17 . 2008-01-15 21:22 <DIR> d-------- C:\Programme\Picture It! Premium 10
2008-01-15 21:13 . 2008-01-15 21:13 <DIR> d-------- C:\WINDOWS\ShellNew
2008-01-15 21:13 . 2008-01-15 21:13 400 --a------ C:\WINDOWS\ODBC.INI
2008-01-15 21:06 . 2008-01-15 21:14 <DIR> d-------- C:\Programme\Microsoft Works
2008-01-15 21:04 . 2008-01-15 21:04 <DIR> d-------- C:\Programme\Microsoft Works Suite 2005
2008-01-15 18:46 . 2008-01-23 18:47 <DIR> d-------- C:\Programme\Cossacks - Back to War
2008-01-13 14:03 . 2008-01-13 14:03 4 --a------ C:\loadcounter.dat
2008-01-13 11:36 . 2008-01-24 17:00 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-13 11:35 . 2008-01-13 11:37 <DIR> d-------- C:\Programme\ICQ6
2008-01-12 18:03 . 2008-01-12 18:03 <DIR> d-------- C:\Programme\Install Creator
2008-01-12 14:51 . 2008-01-12 14:51 223 --a------ C:\WINDOWS\EXEHtml.INI
2008-01-12 14:42 . 2008-01-12 14:44 <DIR> d-------- C:\Programme\HTML2Exe Baler 2
2008-01-12 14:42 . 2008-01-12 14:42 72,192 --a------ C:\WINDOWS\cadkasdeinst01e.exe
2008-01-12 13:33 . 2004-08-04 00:58 381,440 --a------ C:\WINDOWS\system32\irprops.cpl
2008-01-12 13:33 . 2004-08-04 00:58 381,440 --a--c--- C:\WINDOWS\system32\dllcache\irprops.cpl
2008-01-12 08:39 . 2008-01-14 22:33 1,710 --a------ C:\xx.rtf
2008-01-12 08:30 . 2008-01-12 08:30 <DIR> d-------- C:\Programme\WISO
2008-01-12 08:30 . 2008-01-12 08:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-01-12 08:30 . 2008-01-12 08:30 66 --a------ C:\WINDOWS\wiso.ini
2008-01-11 22:15 . 2008-01-11 22:15 1,024 --a------ C:\.rnd
2008-01-11 20:07 . 2008-01-11 22:27 <DIR> d-------- C:\Counter-Strike Source
2008-01-11 17:02 . 2008-01-11 17:03 <DIR> d-------- C:\Programme\Babylon
2008-01-11 16:15 . 2008-01-15 13:17 <DIR> d-------- C:\Programme\Zauberbesen Racer
2008-01-11 13:21 . 2008-01-11 13:21 <DIR> d-------- C:\Programme\DT111-V3
2008-01-08 18:52 . 2008-01-08 18:52 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-01-08 18:46 . 2008-01-08 18:46 <DIR> d-------- C:\Programme\Konami
2008-01-07 20:23 . 2008-01-07 20:23 <DIR> d-------- C:\Programme\Macromedia
2008-01-07 20:23 . 2008-01-07 20:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2008-01-06 11:57 . 2008-01-06 11:58 <DIR> d-------- C:\Programme\Avira Premium Security Suite
2008-01-06 11:57 . 2006-11-07 08:44 51,200 --a------ C:\WINDOWS\system32\drivers\avfwot.sys
2008-01-06 11:57 . 2006-10-11 13:28 49,712 --a------ C:\WINDOWS\system32\drivers\avfwim.sys
2008-01-05 21:20 . 2008-01-05 23:55 <DIR> d-------- C:\Programme\Thoosje Sidebar 2.2
2008-01-05 19:50 . 2004-08-04 13:00 219,648 --a------ C:\WINDOWS\system32\uxtheme.backup
2008-01-05 19:43 . 2008-01-05 19:50 <DIR> d-------- C:\WINDOWS\VistaMizer
2008-01-05 19:04 . 2007-05-16 09:41 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 15:45 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 18:50 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-01-03 12:34 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2008-01-01 15:07 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-01 15:07 --------- d-----w C:\Programme\ATI Technologies
2007-12-31 01:57 --------- d-----w C:\Programme\Windows Media Connect 2
2007-12-31 01:46 --------- d-----w C:\Programme\avmwlanstick
2007-12-31 01:40 --------- d--h--w C:\Programme\Uninstall Information
2007-12-31 01:35 --------- d-----w C:\Programme\microsoft frontpage
2007-12-31 01:33 --------- d-----w C:\Programme\Online-Dienste
2007-12-31 01:32 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-31 01:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-31 01:22 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-31 01:22 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-05 03:05 368,640 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-12-05 02:55 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-11-15 17:46 10,040 ----a-w C:\WINDOWS\system32\lmimirr2.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,538,048 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2002-09-24 09:56 712,704 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
2001-08-31 10:49 2,278 ----a-w C:\Programme\ELBRUS_A.bmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{965B54B0-71E0-4611-8DE7-F73FA0B20E26}
{855F3B16-6D32-4FE6-8A56-BBB695989046}
{327C2873-E90D-4C37-AA9D-10AC9BABA46C}

[HKEY_CLASSES_ROOT\clsid\{965b54b0-71e0-4611-8de7-f73fa0b20e26}]
[HKEY_CLASSES_ROOT\BabylonTBLib.BabylonTB.1]
[HKEY_CLASSES_ROOT\TypeLib\{162484B8-B114-453f-A344-C0B24B0F1D99}]
[HKEY_CLASSES_ROOT\BabylonTBLib.BabylonTB]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{965B54B0-71E0-4611-8DE7-F73FA0B20E26}"= C:\Programme\Babylon\Babylon Toolbar\BabylonIEToolBar.dll [2007-12-18 14:42 267488]

[HKEY_CLASSES_ROOT\clsid\{965b54b0-71e0-4611-8de7-f73fa0b20e26}]
[HKEY_CLASSES_ROOT\BabylonTBLib.BabylonTB.1]
[HKEY_CLASSES_ROOT\TypeLib\{162484B8-B114-453f-A344-C0B24B0F1D99}]
[HKEY_CLASSES_ROOT\BabylonTBLib.BabylonTB]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 25088]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 11:24 343552]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 13:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"C-Media Mixer"="Mixer.exe" [2002-09-24 10:55 1495040 C:\WINDOWS\mixer.exe]
"MSDisp32"="C:\WINDOWS\system32\drvmud.dll" [2008-01-24 19:34 18944]
"MSDrive"="C:\WINDOWS\system32\drvlab.dll" [2008-01-24 19:34 103936]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-10-02 16:27 1065288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Salih^Startmenü^Programme^Autostart^WISO Bewerbung 2007 Reminder.lnk]
path=C:\Dokumente und Einstellungen\Salih\Startmenü\Programme\Autostart\WISO Bewerbung 2007 Reminder.lnk
backup=C:\WINDOWS\pss\WISO Bewerbung 2007 Reminder.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
--a------ 2007-06-28 15:19 880080 C:\Programme\AdVantage\AdVantage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASM]
--a------ 2006-11-07 15:11 2500096 C:\Programme\AOL\Active Security Monitor\ASMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2006-10-31 17:07 262184 C:\Programme\Avira Premium Security Suite\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
--a------ 2007-12-18 14:42 3116768 C:\Programme\Babylon\Babylon-Pro\Babylon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-11-21 01:47 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-10-18 15:27 455968 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
--a------ 2006-11-28 01:12 2658304 C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 286720 C:\Programme\QuickTime\qttask.exe

R1 avfwot;avfwot;C:\WINDOWS\system32\drivers\avfwot.sys [2006-11-07 08:44]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira Premium Security Suite\avfwsvc.exe [2006-11-07 08:44]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Programme\Avira Premium Security Suite\avmailc.exe [2006-12-01 13:15]
R2 AVEService;Avira Premium Security Suite MailGuard helper service;C:\Programme\Avira Premium Security Suite\avesvc.exe [2006-12-01 13:15]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2006-10-11 13:28]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 01:00]
S2 wu87a44esgu07iab;Print Spooler Service;C:\WINDOWS\system32\bhp.exe []
S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i-MCE;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-12-18 17:53]
S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2001-09-10 19:09]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{262cd38e-b742-11dc-9a2e-ab44fc6349de}]
\Shell\AutoRun\command - L:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e1ab43e-c513-11dc-9a66-00040efbe0d5}]
\Shell\AutoRun\command - F:\CSetup.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2008-01-18 16:16:48 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-23 18:08:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-25 13:50:00
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-25 13:51:07
ComboFix-quarantined-files.txt 2008-01-25 12:51:02
.
2008-01-17 22:58:01 --- E O F ---
Regsearch

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 25.01.2008 14:20:27 for strings:
; 'print spooler service '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Dieser Beitrag wurde am 25.01.2008 um 14:21 Uhr von sas editiert.
Seitenanfang Seitenende
25.01.2008, 15:02
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 um das hier in der Registry zu finden:
S2 wu87a44esgu07iab;Print Spooler Service;C:\WINDOWS\system32\bhp.exe []

ºººººººººººººººººººººººº
regsearch
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

wu87a44esgu07iab

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.01.2008, 15:12
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#5 ««

1.
lade die exe und die dll hoch - kannst du von hier aus einkopieren - lasse sie prüfen - poste hier den Report
http://www.virustotal.com/de/

C:\WINDOWS\system32\lyg.exe
C:\WINDOWS\system32\drvlab.dll

-------------------------------------------------------------------

2.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

für den Dienst:
Print Spooler Service

---------

3.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc delete Print Spooler Service

-----------------------------------------------------------

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" -> Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WU87A44ESGU07IAB]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wu87a44esgu07iab]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WU87A44ESGU07IAB]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wu87a44esgu07iab]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WU87A44ESGU07IAB]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wu87a44esgu07iab]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSDisp32"=-
"MSDrive"=-

File::
C:\WINDOWS\system32\drvlab.dll
C:\WINDOWS\system32\drvmud.dll
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden - tippe 1
poste das neue Log von Combofix

---------------------------------------------------

5.
scanne mit Bitdefender + poste den Scanreport
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.01.2008, 15:50
...neu hier

Themenstarter

Beiträge: 4
#6

Zitat

Pinguin postete
um das hier in der Registry zu finden:
S2 wu87a44esgu07iab;Print Spooler Service;C:\WINDOWS\system32\bhp.exe []

ºººººººººººººººººººººººº
regsearch
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

wu87a44esgu07iab

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 25.01.2008 15:47:07 for strings:
; 'wu87a44esgu07iab'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WU87A44ESGU07IAB]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WU87A44ESGU07IAB\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WU87A44ESGU07IAB\0000]
"Service"="wu87a44esgu07iab"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wu87a44esgu07iab]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wu87a44esgu07iab\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wu87a44esgu07iab\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wu87a44esgu07iab\Enum]
"0"="Root\\LEGACY_WU87A44ESGU07IAB\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WU87A44ESGU07IAB]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WU87A44ESGU07IAB\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WU87A44ESGU07IAB\0000]
"Service"="wu87a44esgu07iab"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wu87a44esgu07iab]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wu87a44esgu07iab\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WU87A44ESGU07IAB]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WU87A44ESGU07IAB\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WU87A44ESGU07IAB\0000]
"Service"="wu87a44esgu07iab"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wu87a44esgu07iab]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wu87a44esgu07iab\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wu87a44esgu07iab\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wu87a44esgu07iab\Enum]
"0"="Root\\LEGACY_WU87A44ESGU07IAB\\0000"

; End Of The Log...
Seitenanfang Seitenende
25.01.2008, 16:10
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 o.k. nun kannst du Combofix anwenden - habe das script verandert...
aber vorher alles andere abarbeiten, bitte
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.01.2008, 16:23
...neu hier

Themenstarter

Beiträge: 4
#8

Zitat

Pinguin postete
o.k. nun kannst du Combofix anwenden - habe das script verandert...
aber vorher alles andere abarbeiten, bitte
dankeschön dieser Werbung ist jetzt weg ;) aber hab noch ein Problem undzwar bei Anmeldekonten (windows-start) gibt es seit ich diesen Virus eingefangen habe noch ein Konto der heißt:LOGMYREMOTEUSER
gibt es eine möglichkeit es zu löschen?
Seitenanfang Seitenende
25.01.2008, 16:53
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 ««

boote in den abgesicherten Modus - F8 drücken - wenn der PC hochfährt

wenn du in Windows bist:
Start - Systemsteuerung - Benutzerkonten
dort lösche dieses ominöse Konto.

««
dann scanne im Normalmodus mit bitdefender, so wie ich geschrieben hatte + poste hier den report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
13.02.2008, 20:14
...neu hier

Beiträge: 3
#10 ComboFix 08-02-13.2 - Meik 2008-02-13 19:58:19.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.56 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Desktop\Error Cleaner.url
D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Desktop\Privacy Protector.url
D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Desktop\Spyware&Malware Protection.url
D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Favoriten\Error Cleaner.url
D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Favoriten\Privacy Protector.url
D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Favoriten\Spyware&Malware Protection.url

----- BITS: Possible infected sites -----

hxxp://softworldnetwork.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-13 bis 2008-02-13 ))))))))))))))))))))))))))))))
.

2008-02-12 15:13 . 2008-02-12 15:13 <DIR> d-------- D:\Programme\CCleaner
2008-02-12 14:46 . 2008-02-12 14:48 <DIR> d-------- D:\Programme\Navilog1
2008-02-12 14:31 . 2008-02-12 14:31 <DIR> d-------- D:\Programme\Trend Micro
2008-02-11 19:02 . 2008-02-12 16:43 <DIR> d-------- D:\Programme\Spybot - Search & Destroy
2008-02-11 19:02 . 2008-02-12 16:42 <DIR> d-------- D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-02-11 18:22 . 2008-02-11 18:35 <DIR> d-------- D:\Programme\Spyware Doctor
2008-02-11 14:53 . 2008-02-11 14:53 <DIR> d-------- D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grisoft
2008-02-11 14:51 . 2007-05-30 13:10 10,872 --a------ D:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-11 07:55 . 2008-02-11 07:55 <DIR> d-------- D:\Programme\Enigma Software Group
2008-02-10 18:58 . 2008-02-11 19:48 <DIR> d-------- D:\Programme\XP Antivirus
2008-02-09 19:57 . 2008-02-09 14:13 221,184 --a------ D:\WINDOWS\admggxp.dll
2008-02-09 19:57 . 2008-02-09 14:13 217,088 --a------ D:\WINDOWS\bdmnopx.dll
2008-02-09 19:57 . 2008-02-09 19:09 204,800 --a------ D:\WINDOWS\emotrlq.dll
2008-02-09 19:57 . 2008-02-09 19:09 90,112 --a------ D:\WINDOWS\fsxloqf.exe
2008-02-05 13:19 . 2008-02-05 13:25 <DIR> d-------- D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Anwendungsdaten\Winamp
2008-02-04 21:54 . 2007-03-08 00:51 129,784 --------- D:\WINDOWS\system32\pxafs.dll
2008-02-04 21:54 . 2007-03-08 00:51 9,464 --------- D:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-04 21:54 . 2007-03-08 00:51 9,336 --------- D:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-01-31 14:38 . 2008-01-31 14:38 <DIR> d-------- D:\Programme\Gemeinsame Dateien\SWF Studio
2008-01-26 19:12 . 2008-01-26 19:12 <DIR> d-------- D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Anwendungsdaten\OtakuSoftware
2008-01-26 19:10 . 2008-01-26 19:11 <DIR> d-------- D:\Programme\DeskSpace
2008-01-26 18:22 . 2008-02-01 11:35 <DIR> d-a------ D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-01-14 17:55 . 2008-01-31 15:16 <DIR> d-------- D:\Programme\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-13 19:07 859,168 --sha-w D:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-13 19:07 19,712,032 --sha-w D:\WINDOWS\system32\drivers\fidbox.dat
2008-02-13 18:34 --------- d-----w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab
2008-02-13 16:04 82,400 --sha-w D:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-13 16:04 267,128 --sha-w D:\WINDOWS\system32\drivers\fidbox.idx
2008-02-11 18:51 --------- d-----w D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Anwendungsdaten\UseNeXT
2008-02-09 19:34 --------- d-----w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab Setup Files
2008-02-03 17:39 91,700 ----a-w D:\WINDOWS\system32\drivers\klin.dat
2008-01-19 19:27 --------- d-----w D:\Programme\Windows Live Safety Center
2008-01-08 19:06 --------- d-----w D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Anwendungsdaten\SlySoft
2008-01-08 19:04 --------- d-----w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SlySoft
2008-01-08 19:03 --------- d-----w D:\Programme\SlySoft
2008-01-08 18:31 --------- d-----w D:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-08 18:19 306,432 ----a-w D:\WINDOWS\system32\TuneUpDefragService.exe
2008-01-08 18:19 --------- d-----w D:\Programme\TuneUp Utilities 2008
2008-01-05 14:40 --------- d-----w D:\Programme\UseNeXT
2007-12-23 11:06 --------- d-----w D:\Programme\MSN Messenger
2007-12-17 10:46 85,860 ----a-w D:\WINDOWS\system32\drivers\klick.dat
2007-12-13 15:31 --------- d-----w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2007-11-29 22:30 200,704 ----a-w D:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w D:\WINDOWS\system32\libdivx.dll
2007-11-26 16:36 44,600 ----a-w D:\Dokumente und Einstellungen\Meik.FRANKFUR-4ZLAVP\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-15 12:52 144,198 ----a-w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\firstlsp.reg.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"msnmsgr"="D:\Programme\MSN Messenger\msnmsgr.exe" [2007-09-20 17:20 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 21:36 218640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bdmnopx"= {5E625B71-BBE1-4638-B4D3-99BFAB09CE3C} - D:\WINDOWS\bdmnopx.dll [2008-02-09 14:13 217088]
"admggxp"= {43DCF912-DA28-495D-8F38-60DCA2683DF9} - D:\WINDOWS\admggxp.dll [2008-02-09 14:13 221184]

R2 SVKP;SVKP;D:\WINDOWS\system32\SVKP.sys [2007-11-24 18:54]
R2 UxTuneUp;TuneUp Designerweiterung;D:\WINDOWS\System32\svchost.exe [2004-08-04 08:58]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;D:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 13:58]
S3 avfwim;AvFw Packet Filter Miniport;D:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;D:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-08 19:19]
S3 XDva039;XDva039;D:\WINDOWS\system32\XDva039.sys []
S3 ZDBRGSYS;ZDBRGSYS NDIS Protocol Driver;D:\WINDOWS\system32\ZDBRGSYS.SYS [2004-06-30 12:54]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-01-18 16:20:52 D:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 20:07:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-13 20:10:40
ComboFix-quarantined-files.txt 2008-02-13 19:10:10
ComboFix2.txt 2008-02-12 16:01:20
ComboFix3.txt 2008-02-12 14:57:56
ComboFix4.txt 2008-02-12 14:46:28
.
2008-01-10 12:10:53 --- E O F ---
Seitenanfang Seitenende
14.02.2008, 00:05
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 Marker11

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bdmnopx"=-
"admggxp"=-

Folder::
D:\Programme\XP Antivirus

File::
D:\WINDOWS\admggxp.dll
D:\WINDOWS\bdmnopx.dll
D:\WINDOWS\emotrlq.dll
D:\WINDOWS\fsxloqf.exe
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1



--

PC neustarten

«
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
14.02.2008, 18:30
...neu hier

Beiträge: 3
#12 Wie kann ich die Viren löschen ?
Seitenanfang Seitenende
14.02.2008, 23:24
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 ja nun...ich habe dir ein Script erstellt - mit dem alles gereinigt wird ..musst es nur korrekt anwenden ;)
die erstellt txt-Datei auf das Combofix-Symbol gezogen .... macht, dass Combofix löscht, was ich ins Script gepackt habe..die Viren... und das gefälschte Proggie, was dir die Viren auf den Rechner geschaufelt hat... dieses XP-Antivirus ...reinster Viren-Müll !!!
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.02.2008, 21:23
...neu hier

Beiträge: 3
#14 Danke hat alles geklapt !
Seitenanfang Seitenende
18.02.2008, 20:53
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 1.
HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: SXG Advisor - {D7C622D9-8999-4FDF-81EB-E6B0A547FA61} - C:\WINDOWS\dmdvpnwgp.dll

O3 - Toolbar: emotigt - {AA8B47FF-72C3-45C3-A7F1-8E86D1C65E67} - C:\WINDOWS\emotigt.dll

O21 - SSODL: bdmanager - {C6A3CB4C-6F5D-4EAA-84F1-A4FBA312515F} - C:\WINDOWS\bdmanager.dll

O21 - SSODL: admgcx - {E1432F71-513F-4E1A-93EA-6ED20E5FD820} - C:\WINDOWS\admgcx.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

PC neustarten

««
Combofix anwenden + hier den Scanreport posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Argus
Seitenanfang Seitenende