System Alert PopUp - MediaEntertainmentCodec

#0
09.02.2008, 18:04
...neu hier

Beiträge: 8
#1 Bitte helft mir (bin Computer-unerfahren),

Habe ein sehr lästiges Security System Alert PopUp, welches mich immer zum Kauf von Anti Viren Software zwingen will.
Da steht: Es werde gerade ein Virenangriff auf mich durchgeführt.
Danach steigt mein CPU auf 100%: explorer.exe = 100%
Habe ein paar Schritte schon eingeleitet, nach folgendem Schema:

http://board.protecus.de/t23187.htm

Hier erst mal mein ComboFix Report:

ComboFix 08-02.05.3 - Daniel 2008-02-09 16:54:37.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.187 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekmoSA
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekmoSA\SeekmoSA.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekmoSA\SeekmoSA_gdf.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekmoSA\SeekmoSA_kyf.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekmoSA\SeekmoSAAbout.mht
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekmoSA\SeekmoSAau.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SeekmoSA\SeekmoSAEula.mht
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Dokumente und Einstellungen\Daniel\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Daniel\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Daniel\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Daniel\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Daniel\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Daniel\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Daniel\ResErrors.log
C:\Programme\ShoppingReport
C:\Programme\ShoppingReport\Uninst.exe
C:\WINDOWS\dat.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\stera.log

----- BITS: Possible infected sites -----

hxxp://onsafepro.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_FWSVC
-------\LEGACY_VSPF
-------\LEGACY_VSPF_HK


((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-09 13:19 . 2008-02-09 13:29 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-09 13:19 . 2008-02-09 13:29 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-09 13:18 . 2008-02-09 13:18 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-02-09 13:18 . 2008-02-09 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-09 13:18 . 2008-02-09 17:10 2,852,896 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-09 13:18 . 2008-02-09 17:10 39,260 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-09 13:18 . 2008-02-09 17:11 7,712 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-09 13:18 . 2008-02-09 17:10 1,772 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-09 13:12 . 2008-02-09 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-02-09 02:52 . 2008-02-09 02:52 <DIR> d--hs---- C:\SichererAntivirus
2008-02-09 02:52 . 2008-02-09 02:52 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SichererAntivirus
2008-02-09 02:51 . 2008-02-09 13:11 <DIR> d-------- C:\Programme\SichererAntivirus
2008-02-09 02:50 . 2008-02-09 02:50 190,992 --a------ C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\install_de[1].exe
2008-02-09 02:49 . 2008-02-09 02:49 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\festplattencleaner
2008-02-09 02:41 . 2008-02-09 02:41 262,160 --a------ C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\setup_de[1].exe
2008-02-08 20:32 . 2008-02-09 14:13 <DIR> d-------- C:\Programme\Ozone 3
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iZotope
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iZotope
2008-02-08 20:04 . 2008-02-08 05:30 270,336 --a------ C:\WINDOWS\admggxp.dll
2008-02-08 20:04 . 2008-02-08 05:30 266,240 --a------ C:\WINDOWS\bdmnopx.dll
2008-02-08 20:02 . 2008-02-08 20:15 <DIR> d-------- C:\Programme\MediaEntertainmentCodec
2008-02-04 18:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-29 18:57 . 2002-02-03 02:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Steinberg
2008-01-29 18:56 . 2008-01-29 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Syncrosoft
2008-01-29 18:56 . 2006-01-29 12:48 147,425 --a------ C:\WINDOWS\system32\SYNSOACC-Aide.chm
2008-01-29 18:56 . 2006-01-29 12:48 120,468 --a------ C:\WINDOWS\system32\SYNSOACC-Hilfe.chm
2008-01-29 18:56 . 2006-01-29 12:48 114,279 --a------ C:\WINDOWS\system32\SYNSOACC-Help.chm
2008-01-29 18:56 . 2006-01-29 12:48 45,056 --a------ C:\WINDOWS\system32\Synsopos.exe
2008-01-29 18:56 . 2006-11-23 18:20 18,432 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys
2008-01-29 18:56 . 2008-01-29 18:56 2,892 --a------ C:\WINDOWS\system32\audcon.sys
2008-01-29 18:55 . 2008-02-02 14:04 <DIR> d-------- C:\Programme\Syncrosoft
2008-01-29 18:55 . 2007-09-03 12:47 765,952 --------- C:\WINDOWS\system32\SYNSOACC.dll
2008-01-29 18:55 . 2006-01-29 12:48 147,456 --a------ C:\WINDOWS\system32\SynsoLChk.dll
2008-01-29 11:22 . 2008-02-01 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\FileZilla
2008-01-29 11:21 . 2008-01-29 11:21 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-01-27 17:08 . 2002-02-03 03:09 <DIR> d-------- C:\Programme\Pschyrembel
2008-01-27 17:08 . 2004-06-23 10:53 1,045,776 -ra------ C:\WINDOWS\system32\msjet35.dll
2008-01-27 17:08 . 2004-06-23 10:52 149,504 -ra------ C:\WINDOWS\system32\WpdFilt.dll
2008-01-27 17:08 . 2004-05-26 10:50 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-01-27 17:08 . 2004-06-23 10:52 17,168 -ra------ C:\WINDOWS\system32\qperf.dll
2008-01-27 17:08 . 2004-06-23 10:52 764 -ra------ C:\WINDOWS\system32\WpdFilt.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 12:49 --------- d-----w C:\Programme\Ad-Aware 2007
2008-02-07 18:35 --------- d-----w C:\Programme\Steinberg
2008-02-07 18:13 --------- d-----w C:\Programme\M-Audio Ozone
2008-02-07 18:12 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-02-07 18:12 --------- d-----w C:\Programme\M-Audio USB Keyboard Device
2008-02-04 17:12 --------- d-----w C:\Programme\Cicil 2007
2008-02-04 17:11 --------- d-----w C:\Programme\Java
2008-01-29 18:02 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Steinberg
2007-12-12 19:13 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\hypercyclic
2006-11-13 21:47 25,600 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermptxp.sys
2006-11-13 21:47 22,768 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07AA283A-43D7-4CBE-A064-32A21112D94D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{07AA283A-43D7-4CBE-A064-32A21112D94D}
{DEB69875-072C-4EEE-8585-1B6AA76F3E4E}

[HKEY_CLASSES_ROOT\clsid\{deb69875-072c-4eee-8585-1b6aa76f3e4e}]
[HKEY_CLASSES_ROOT\emotrlq.1]
[HKEY_CLASSES_ROOT\TypeLib\{0996FC76-1910-4A7C-A6AB-16E39875854E}]
[HKEY_CLASSES_ROOT\emotrlq]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"RecordNow!"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-10-30 09:46 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-10-30 09:33 118784]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01 110592]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-26 18:15 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-26 18:15 536576]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-04-30 09:32 208958]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-04-30 12:50 274432]
"SpySpotter System Defender"="C:\Programme\SpySpotter3\Defender.exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-16 16:37 180269]
"NI.UGA6PU_0001_N120M2910"="c:\dokumente und einstellungen\daniel\anwendungsdaten\install_de[1].exe" [2008-02-09 02:50 190992]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24 49152]
"ugac"="C:\PROGRA~1\GEMEIN~1\SICHER~1\ugac.exe" [ ]
"bm"="C:\Programme\Gemeinsame Dateien\SichererAntivirus\bm.exe" [ ]
"ptask"="C:\Programme\SichererAntivirus\ptask.exe" [ ]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-26 16:53 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"admggxp"= {3CC3DF3B-53EC-4649-8D44-6912791A430F} - C:\WINDOWS\admggxp.dll [2008-02-08 05:30 270336]
"bdmnopx"= {BBC3F794-F974-45DE-A02D-A770EF50DCED} - C:\WINDOWS\bdmnopx.dll [2008-02-08 05:30 266240]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-05-19 17:11 18577448 C:\Programme\Skype\Phone\Skype.exe

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 UKS11LDR;M-Audio USB Keystation Loader;C:\WINDOWS\system32\drivers\uks11ldr.sys []
S3 USBKT1X1;M-Audio USB Keystation;C:\WINDOWS\system32\drivers\usbkt1x1.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d5282932-4c90-11d5-99e3-00c09f46cc70}]
\Shell\AutoRun\command - E:\setupSNK.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 17:12:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????5?0?2?0??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\bdmnopx.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\M-Audio Ozone\Install\Ozinst.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\M-Audio Ozone\OZTask.exe
C:\Programme\Pschyrembel\bin\LibInst.Gui.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\HPQ\SHARED\HPQWMI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 17:24:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-09 16:24:30
.
2008-01-10 20:55:41 --- E O F ---




Und hier die HiJackthis-Logfile :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:19, on 09.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\M-Audio Ozone\Install\Ozinst.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\M-Audio Ozone\OZTask.exe
C:\Programme\Pschyrembel\bin\LibInst.Gui.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Seekmo /fleok=1D8A83A5C3E6177898AE75760EA83FA5EF80752B9499803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: emotrlq - {DEB69875-072C-4EEE-8585-1B6AA76F3E4E} - C:\WINDOWS\emotrlq.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SpySpotter System Defender] C:\Programme\SpySpotter3\Defender.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M2910] "c:\dokumente und einstellungen\daniel\anwendungsdaten\install_de[1].exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [ugac] "C:\PROGRA~1\GEMEIN~1\SICHER~1\ugac.exe" -start
O4 - HKLM\..\Run: [bm] "C:\Programme\Gemeinsame Dateien\SichererAntivirus\bm.exe" dm=http://sichererantivirus.com ad=http://sichererantivirus.com sd=http://amesser.sichererantivirus.com
O4 - HKLM\..\Run: [ptask] C:\Programme\SichererAntivirus\ptask.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: M-Audio Ozone Control Panel Launcher.lnk = C:\Programme\M-Audio Ozone\OZTask.exe
O4 - Global Startup: NXT Library Installer.lnk = C:\Programme\Pschyrembel\bin\LibInst.Gui.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095929377294
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: admggxp - {3CC3DF3B-53EC-4649-8D44-6912791A430F} - C:\WINDOWS\admggxp.dll
O21 - SSODL: bdmnopx - {BBC3F794-F974-45DE-A02D-A770EF50DCED} - C:\WINDOWS\bdmnopx.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Programme\M-Audio Ozone\Install\Ozinst.exe

--
End of file - 7880 bytes



Hier die Uninstall Manager List
:



Adobe Flash Player Plugin
Adobe Reader 6.0.1 - Deutsch
Alesis io|2 ASIO Driver
ASAPI Update
ASIO4ALL
Cicil 2007 - Elearning
Collab
Conexant AC-Link Audio
CVPiano-Modeled
DivX
DSound RT Player Express
DVS Guitar v1.04
energyXT2.04 Core
FileZilla Client 3.0.5.2
FL Studio 7
Freiburger HistoCD
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
Hotfix für Windows XP (KB893357)
Hotfix für Windows XP (KB914440)
HP Deskjet Preloaded Printer Drivers
HP Software Update
IL Download Manager
Image Line PoiZone v1.0 VSTi
Image Line ToxicIII v1.4 VSTi
Intel(R) Extreme Graphics 2 Driver
InterVideo WinDVD
Java 2 Runtime Environment, SE v1.4.2_03
Java(TM) 6 Update 3
jDictionary dictionary program (remove only)
JUMP Version 1.19 (Hard Note Software)
JX220 (remove only)
Kaspersky Internet Security 7.0
Kaspersky Internet Security 7.0
Mastering Edition 1.5
Media Entertainment Codec v1.6
Microsoft .NET Framework (German) v1.0.3705
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 97, Professional Edition
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual J# .NET Redistributable Package 1.1
Microsoft Works 7.0
MicroStaff WINASPI
Mozilla Firefox (1.0.7)
Ozone 1.0.0.9
PDFCreator 0.8.0
PSP VintageMeter 1.0
Quick Launch Buttons 5.00 A5
RealPlayer
RecordNow!

SigmaTel MSCN Audio Player
Skype 2.0
SoftV92 Data Fax Modem with SmartCP
Sonic Update Manager
Steinberg Cubase LE
Steinberg HALionOne
Steinberg Mastering Edition Enhanced 2002
Synaptics Pointing Device Driver
Syncrosoft Lizenz Kontrolle
Update für Windows XP (KB894391)
Update für Windows XP (KB896727)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
USB Keyboard Device 1.0.1.0
Viewpoint Media Player
Walter de Gruyter Pschyrembel Wörterbücher
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 2
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB867282
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB890923
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893066
Windows XP-Hotfix - KB893086
WinRAR archiver


DATFIND.BAT LOFILE:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 218A-B4AE

Verzeichnis von C:\WINDOWS\system32

08.02.2008 20:03 1.158 wpa.dbl
07.02.2008 19:30 134.072 FNTCACHE.DAT
04.02.2008 18:11 5.686 jupdate-1.6.0_03-b05.log
29.01.2008 18:56 2.892 audcon.sys
02.01.2008 19:21 17.642.616 MRT.exe
13.11.2007 12:31 60.416 tzchange.exe
07.11.2007 10:27 729.600 lsasrv.dll
31.10.2007 00:19 3.590.656 mshtml.dll


BESCHREIBUNG DER SYMPTOME:

1. Sobald ich Windows hochfahre erscheint ein Fenster mit einer ausführbaren Datei, welche install_de.exe heißt. Es wird gefragt, ob diese Datei ausgeführt werden soll, da der Herausgeber unbekannt ist.

2. Zusätzlich befinden sich auf meinem Desktop Icons mit Internetverknüfpungen
zum herunterladen von Antivirenprogrammen. Die sich nicht löschen lassen: Sind nach Neustart immer wieder da!

3. Dann meldet sich nach einiger Zeit der Security System Alert und meint, dass
gerade ein Virenangriff auf mich ausgeführt wird. Drücke ich dann OK, werde ich ebenfalls auf eine Internet Seite verlinkt, wo ich AntiViren Software runterladen soll

4.Kurz darauf steigt meine CPU Auslastung auf 100% (explorer.exe=100%) und
der Computer arbeitet fast gar nicht mehr

BITTE HELFT MIR
Seitenanfang Seitenende
09.02.2008, 19:02
Moderator

Beiträge: 7805
#2 Teste folgende Dateien bitte einmal bei Virustotal
C:\WINDOWS\admggxp.dll
C:\WINDOWS\bdmnopx.dll
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\install_de[1].exe
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\setup_de[1].exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.02.2008, 19:25
...neu hier

Themenstarter

Beiträge: 8
#3 Hi, raman - Danke erstma!!
Hab sie analysieren lassen; komisch war nur, dass jedes mal gesagt wurde die Datei wäre schon analysiert worden.
Hier die Ergebnise:
Was meinst du?


C:\WINDOWS\admggxp.dll
MD5: d643538bd09573f7c1b5ebc6897fef1a
Datum 2008.02.09 19:13:57 (CET) [<1D]
Ergebnisse 3/32
Permalink: analisis/bf273498cd24150bc8f5da37077a25df



C:\WINDOWS\bdmnopx.dll :
MD5: 18c972d99545fdea7b2b156f83ec8cf2
Datum 2008.02.08 20:11:42 (CET) [<1D]
Ergebnisse 7/32
Permalink: analisis/4b989f5040b8d7940102de75c7e0103b


C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\install_de[1].exe :
MD5: 0f6ec41e9795d483cd266eaf2073e087
Datum 2008.02.03 14:51:52 (CET) [>6D]
Ergebnisse 24/32
Permalink: analisis/900bcca7c3054f0ba552d91d72ff21dc


C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\setup_de[1].exe :
MD5: dba6689c1423c4387449c2ac6686c8e4
Datum 2008.02.09 17:34:38 (CET) [<1D]
Ergebnisse 20/32
Permalink: analisis/7639e33aea59b10cf6ff638eda2a6a29
Seitenanfang Seitenende
09.02.2008, 19:37
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
__________
MfG Argus
Seitenanfang Seitenende
09.02.2008, 21:00
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#5 4Nasty

1.
HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: Seekmo /fleok=1D8A83A5C3E6177898AE75760EA83FA5EF80752B9499803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)

O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)

O3 - Toolbar: emotrlq - {DEB69875-072C-4EEE-8585-1B6AA76F3E4E} - C:\WINDOWS\emotrlq.dll (file missing)

O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M2910] "c:\dokumente und einstellungen\daniel\anwendungsdaten\install_de[1].exe"

O4 - HKLM\..\Run: [ugac] "C:\PROGRA~1\GEMEIN~1\SICHER~1\ugac.exe" -start

O4 - HKLM\..\Run: [bm] "C:\Programme\Gemeinsame Dateien\SichererAntivirus\bm.exe" dm=http://sichererantivirus.com ad=http://sichererantivirus.com sd=http://amesser.sichererantivirus.com

O21 - SSODL: admggxp - {3CC3DF3B-53EC-4649-8D44-6912791A430F} - C:\WINDOWS\admggxp.dll

O21 - SSODL: bdmnopx - {BBC3F794-F974-45DE-A02D-A770EF50DCED} - C:\WINDOWS\bdmnopx.dll

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_CLASSES_ROOT\clsid\{deb69875-072c-4eee-8585-1b6aa76f3e4e}]
[-HKEY_CLASSES_ROOT\emotrlq.1]
[-HKEY_CLASSES_ROOT\TypeLib\{0996FC76-1910-4A7C-A6AB-16E39875854E}]
[-HKEY_CLASSES_ROOT\emotrlq]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\MediaEntertainmentCodec]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySpotter System Defender"=-
"NI.UGA6PU_0001_N120M2910"=-
"ugac"=-
"bm"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"admggxp"=-
"bdmnopx"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07AA283A-43D7-4CBE-A064-32A21112D94D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{07AA283A-43D7-4CBE-A064-32A21112D94D}"=-
"{DEB69875-072C-4EEE-8585-1B6AA76F3E4E}"=-

File::
C:\WINDOWS\admggxp.dll
C:\WINDOWS\bdmnopx.dll
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\setup_de[1].exe
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\install_de[1].exe

Folder::
C:\Programme\MediaEntertainmentCodec
C:\Programme\Media Entertainment Codec v1.6
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\festplattencleaner
C:\Programme\SpySpotter3
C:\SichererAntivirus
C:\Programme\SichererAntivirus
C:\Programme\Gemeinsame Dateien\SichererAntivirus
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SichererAntivirus
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1



3.
PC neustarten

4.
wende smitfraudfix an (Option 2)
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste hier den scanreport, der erscheint

5.
poste das neue Log von Combofix

--

Hab in Zukunft acht vor:
- Codecs
- gefälschten Proggies
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
09.02.2008, 22:08
...neu hier

Themenstarter

Beiträge: 8
#6 Aaaah-sorry



C:\WINDOWS\admggxp.dll
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.08 -
Authentium 4.93.8 2008.02.08 -
Avast 4.7.1098.0 2008.02.09 -
AVG 7.5.0.516 2008.02.09 -
BitDefender 7.2 2008.02.09 -
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.09 -
DrWeb 4.44.0.09170 2008.02.09 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.09 -
FileAdvisor 1 2008.02.09 -
Fortinet 3.14.0.0 2008.02.09 -
F-Prot 4.4.2.54 2008.02.08 -
F-Secure 6.70.13260.0 2008.02.09 -
Ikarus T3.1.1.20 2008.02.09 Virus.Win32.Agent.LTS
Kaspersky 7.0.0.125 2008.02.09 -
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.09 -
NOD32v2 2861 2008.02.09 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.09 -
Prevx1 V2 2008.02.09 Downloader.Zlob
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.09 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.09 -
TheHacker 6.2.9.214 2008.02.09 -
VBA32 3.12.6.0 2008.02.09 suspected of Downloader.Zlob.7
VirusBuster 4.3.26:9 2008.02.09 -
Webwasher-Gateway 6.6.2 2008.02.09 -
weitere Informationen
File size: 270336 bytes
MD5: d643538bd09573f7c1b5ebc6897fef1a
SHA1: 5daa0ca47d3c6d4435bca92cbc058d27c4b63bb2
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=22F0F9CB003D6699208904248FBBB40058624F2F




C:\WINDOWS\bdmnopx.dll
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 Win-Trojan/Agent.262144.I
AntiVir 7.6.0.62 2008.02.08 ADSPY/Agent.PB
Authentium 4.93.8 2008.02.08 -
Avast 4.7.1098.0 2008.02.09 Win32:Agent-LTS
AVG 7.5.0.516 2008.02.09 -
BitDefender 7.2 2008.02.09 -
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.09 -
DrWeb 4.44.0.09170 2008.02.09 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.09 -
FileAdvisor 1 2008.02.09 -
Fortinet 3.14.0.0 2008.02.09 -
F-Prot 4.4.2.54 2008.02.08 -
F-Secure 6.70.13260.0 2008.02.09 -
Ikarus T3.1.1.20 2008.02.09 Virus.Win32.Agent.LTS
Kaspersky 7.0.0.125 2008.02.09 -
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.09 -
NOD32v2 2861 2008.02.09 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.09 -
Prevx1 V2 2008.02.09 Downloader.Zlob
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.09 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.09 -
TheHacker 6.2.9.214 2008.02.09 -
VBA32 3.12.6.0 2008.02.09 suspected of Downloader.Zlob.7
VirusBuster 4.3.26:9 2008.02.09 -
Webwasher-Gateway 6.6.2 2008.02.09 Ad-Spyware.Agent.PB
weitere Informationen
File size: 266240 bytes
MD5: 18c972d99545fdea7b2b156f83ec8cf2
SHA1: ac57c21c5756293b198f32348dbb74a4371a6d9f
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=734760520093000410990493399E63004C183A5D



C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\install_de[1].exe
Habe die Überprüfung abgebrochen, da sich nichts getan hat -keine Ergebnisse
- hab ewig gewartet
Aber is doch auch ein Kriterium für Pathogenität-oder?
Jedenfalls ist das die Datei, die sich beim Hochfahren als auszuführende Datei
meldet.




C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\setup_de[1].exe
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.08 -
Authentium 4.93.8 2008.02.08 -
Avast 4.7.1098.0 2008.02.09 -
AVG 7.5.0.516 2008.02.09 Potentially harmful program WinFixer.AMX
BitDefender 7.2 2008.02.09 -
CAT-QuickHeal None 2008.02.08 Downloader.WinFixer.br (Not a Virus)
ClamAV 0.92 2008.02.09 Adware.Downloader-53
DrWeb 4.44.0.09170 2008.02.09 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.09 -
FileAdvisor 1 2008.02.09 High threat detected
Fortinet 3.14.0.0 2008.02.09 Download/WinFixer
F-Prot 4.4.2.54 2008.02.08 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.09 -
Ikarus T3.1.1.20 2008.02.09 not-a-virus;)ownloader.Win32.WinFixer.br
Kaspersky 7.0.0.125 2008.02.09 not-a-virus;)ownloader.Win32.WinFixer.br
McAfee 5226 2008.02.08 -
Seitenanfang Seitenende
09.02.2008, 22:09
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 nun arbeite ab, was ich dir oben geschrieben habe.
Korrekt gemacht, sollte dann wieder alles i.o. sein
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
09.02.2008, 23:32
...neu hier

Themenstarter

Beiträge: 8
#8 Vielen Dank erstma an eure Unterstützung!!!

Hi Pinguin,
Hoffe Hab alles soweit richtig durchgeführt.

Hier das SmitFraudFix-log:




SmitFraudFix v2.285

Scan done at 23:21:12,37, 09.02.2008
Run from C:\Dokumente und Einstellungen\Daniel\Desktop\SmitraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{77050CF9-727A-47A4-A972-0807083CB25E}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{77050CF9-727A-47A4-A972-0807083CB25E}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{77050CF9-727A-47A4-A972-0807083CB25E}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Und hier das log vom davor durchgeführten ComboFix:



ComboFix 08-02.05.3 - Daniel 2008-02-09 22:44:51.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.209 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Daniel\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\install_de[1].exe
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\setup_de[1].exe
C:\WINDOWS\admggxp.dll
C:\WINDOWS\bdmnopx.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\festplattencleaner
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\festplattencleaner\Logs\update.log
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\install_de[1].exe
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\setup_de[1].exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Daniel\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Daniel\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Daniel\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Daniel\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Daniel\Favoriten\Spyware&Malware Protection.url
C:\Programme\MediaEntertainmentCodec
C:\Programme\MediaEntertainmentCodec\install.ico
C:\Programme\MediaEntertainmentCodec\Uninstall.exe
C:\Programme\SichererAntivirus
C:\Programme\SichererAntivirus\history.db
C:\SichererAntivirus
C:\WINDOWS\admggxp.dll
C:\WINDOWS\bdmnopx.dll

----- BITS: Possible infected sites -----

hxxp://onsafepro.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-09 16:49 . 2004-08-03 23:57 401,408 --a------ C:\kmd.exe
2008-02-09 13:19 . 2008-02-09 13:29 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-09 13:19 . 2008-02-09 13:29 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-09 13:18 . 2008-02-09 13:18 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-02-09 13:18 . 2008-02-09 23:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-09 13:18 . 2008-02-09 23:03 3,033,888 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-09 13:18 . 2008-02-09 22:59 41,516 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-09 13:18 . 2008-02-09 23:00 13,856 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-09 13:18 . 2008-02-09 22:59 2,324 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-09 13:12 . 2008-02-09 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-02-09 02:52 . 2008-02-09 02:52 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SichererAntivirus
2008-02-08 20:32 . 2008-02-09 14:13 <DIR> d-------- C:\Programme\Ozone 3
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iZotope
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iZotope
2008-02-04 18:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-29 18:57 . 2002-02-03 02:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Steinberg
2008-01-29 18:56 . 2008-01-29 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Syncrosoft
2008-01-29 18:56 . 2006-01-29 12:48 147,425 --a------ C:\WINDOWS\system32\SYNSOACC-Aide.chm
2008-01-29 18:56 . 2006-01-29 12:48 120,468 --a------ C:\WINDOWS\system32\SYNSOACC-Hilfe.chm
2008-01-29 18:56 . 2006-01-29 12:48 114,279 --a------ C:\WINDOWS\system32\SYNSOACC-Help.chm
2008-01-29 18:56 . 2006-01-29 12:48 45,056 --a------ C:\WINDOWS\system32\Synsopos.exe
2008-01-29 18:56 . 2006-11-23 18:20 18,432 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys
2008-01-29 18:56 . 2008-01-29 18:56 2,892 --a------ C:\WINDOWS\system32\audcon.sys
2008-01-29 18:55 . 2008-02-02 14:04 <DIR> d-------- C:\Programme\Syncrosoft
2008-01-29 18:55 . 2007-09-03 12:47 765,952 --------- C:\WINDOWS\system32\SYNSOACC.dll
2008-01-29 18:55 . 2006-01-29 12:48 147,456 --a------ C:\WINDOWS\system32\SynsoLChk.dll
2008-01-29 11:22 . 2008-02-01 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\FileZilla
2008-01-29 11:21 . 2008-01-29 11:21 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-01-27 17:08 . 2002-02-03 03:09 <DIR> d-------- C:\Programme\Pschyrembel
2008-01-27 17:08 . 2004-06-23 10:53 1,045,776 -ra------ C:\WINDOWS\system32\msjet35.dll
2008-01-27 17:08 . 2004-06-23 10:52 149,504 -ra------ C:\WINDOWS\system32\WpdFilt.dll
2008-01-27 17:08 . 2004-05-26 10:50 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-01-27 17:08 . 2004-06-23 10:52 17,168 -ra------ C:\WINDOWS\system32\qperf.dll
2008-01-27 17:08 . 2004-06-23 10:52 764 -ra------ C:\WINDOWS\system32\WpdFilt.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 12:49 --------- d-----w C:\Programme\Ad-Aware 2007
2008-02-07 18:35 --------- d-----w C:\Programme\Steinberg
2008-02-07 18:13 --------- d-----w C:\Programme\M-Audio Ozone
2008-02-07 18:12 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-02-07 18:12 --------- d-----w C:\Programme\M-Audio USB Keyboard Device
2008-02-04 17:12 --------- d-----w C:\Programme\Cicil 2007
2008-02-04 17:11 --------- d-----w C:\Programme\Java
2008-01-29 18:02 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Steinberg
2007-12-12 19:13 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\hypercyclic
2006-11-13 21:47 25,600 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermptxp.sys
2006-11-13 21:47 22,768 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"RecordNow!"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-10-30 09:46 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-10-30 09:33 118784]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01 110592]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-26 18:15 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-26 18:15 536576]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-04-30 09:32 208958]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-04-30 12:50 274432]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-16 16:37 180269]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24 49152]
"ptask"="C:\Programme\SichererAntivirus\ptask.exe" [ ]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-26 16:53 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-05-19 17:11 18577448 C:\Programme\Skype\Phone\Skype.exe

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 UKS11LDR;M-Audio USB Keystation Loader;C:\WINDOWS\system32\drivers\uks11ldr.sys []
S3 USBKT1X1;M-Audio USB Keystation;C:\WINDOWS\system32\drivers\usbkt1x1.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d5282932-4c90-11d5-99e3-00c09f46cc70}]
\Shell\AutoRun\command - E:\setupSNK.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 23:01:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????5?0?2?0??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\M-Audio Ozone\Install\Ozinst.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\M-Audio Ozone\OZTask.exe
C:\Programme\Pschyrembel\bin\LibInst.Gui.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 23:12:02 - machine was rebooted [Daniel]
ComboFix-quarantined-files.txt 2008-02-09 22:11:54
ComboFix2.txt 2008-02-09 16:24:43
.
2008-01-10 20:55:41 --- E O F ---


Sind die Ergebnisse soweit gut?
Seitenanfang Seitenende
09.02.2008, 23:50
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 ««
lösche:
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SichererAntivirus

wenn du es nicht schaffst, erstelle ich ein Script fuer die Combofix.

--------------------------------------------------------------------

«
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

+
lade combofix neu + poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
10.02.2008, 00:21
...neu hier

Themenstarter

Beiträge: 8
#10 Hier die CombFix-log



ComboFix 08-02.05.3 - Daniel 2008-02-10 0:02:03.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.167 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-09 23:55 . 2004-08-03 23:57 401,408 --a------ C:\kmd.exe
2008-02-09 23:22 . 2008-02-09 23:22 1,910 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-09 23:20 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-02-09 23:20 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-02-09 23:20 . 2008-02-08 23:55 85,504 --a------ C:\WINDOWS\system32\VACFix.exe
2008-02-09 23:20 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-02-09 23:20 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-02-09 23:20 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-02-09 23:20 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-02-09 13:19 . 2008-02-09 13:29 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-09 13:19 . 2008-02-09 13:29 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-09 13:18 . 2008-02-09 13:18 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-02-09 13:18 . 2008-02-09 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-09 13:18 . 2008-02-10 00:14 3,161,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-09 13:18 . 2008-02-09 23:17 42,188 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-09 13:18 . 2008-02-10 00:01 17,184 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-09 13:18 . 2008-02-09 23:17 2,420 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-09 13:12 . 2008-02-09 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-02-09 02:52 . 2008-02-09 02:52 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SichererAntivirus
2008-02-08 20:32 . 2008-02-09 14:13 <DIR> d-------- C:\Programme\Ozone 3
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iZotope
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iZotope
2008-02-04 18:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-29 18:57 . 2002-02-03 02:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Steinberg
2008-01-29 18:56 . 2008-01-29 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Syncrosoft
2008-01-29 18:56 . 2006-01-29 12:48 147,425 --a------ C:\WINDOWS\system32\SYNSOACC-Aide.chm
2008-01-29 18:56 . 2006-01-29 12:48 120,468 --a------ C:\WINDOWS\system32\SYNSOACC-Hilfe.chm
2008-01-29 18:56 . 2006-01-29 12:48 114,279 --a------ C:\WINDOWS\system32\SYNSOACC-Help.chm
2008-01-29 18:56 . 2006-01-29 12:48 45,056 --a------ C:\WINDOWS\system32\Synsopos.exe
2008-01-29 18:56 . 2006-11-23 18:20 18,432 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys
2008-01-29 18:56 . 2008-01-29 18:56 2,892 --a------ C:\WINDOWS\system32\audcon.sys
2008-01-29 18:55 . 2008-02-02 14:04 <DIR> d-------- C:\Programme\Syncrosoft
2008-01-29 18:55 . 2007-09-03 12:47 765,952 --------- C:\WINDOWS\system32\SYNSOACC.dll
2008-01-29 18:55 . 2006-01-29 12:48 147,456 --a------ C:\WINDOWS\system32\SynsoLChk.dll
2008-01-29 11:22 . 2008-02-01 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\FileZilla
2008-01-29 11:21 . 2008-01-29 11:21 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-01-27 17:08 . 2002-02-03 03:09 <DIR> d-------- C:\Programme\Pschyrembel
2008-01-27 17:08 . 2004-06-23 10:53 1,045,776 -ra------ C:\WINDOWS\system32\msjet35.dll
2008-01-27 17:08 . 2004-06-23 10:52 149,504 -ra------ C:\WINDOWS\system32\WpdFilt.dll
2008-01-27 17:08 . 2004-05-26 10:50 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-01-27 17:08 . 2004-06-23 10:52 17,168 -ra------ C:\WINDOWS\system32\qperf.dll
2008-01-27 17:08 . 2004-06-23 10:52 764 -ra------ C:\WINDOWS\system32\WpdFilt.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 12:49 --------- d-----w C:\Programme\Ad-Aware 2007
2008-02-07 18:35 --------- d-----w C:\Programme\Steinberg
2008-02-07 18:13 --------- d-----w C:\Programme\M-Audio Ozone
2008-02-07 18:12 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-02-07 18:12 --------- d-----w C:\Programme\M-Audio USB Keyboard Device
2008-02-04 17:12 --------- d-----w C:\Programme\Cicil 2007
2008-02-04 17:11 --------- d-----w C:\Programme\Java
2008-01-29 18:02 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Steinberg
2007-12-12 19:13 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\hypercyclic
2006-11-13 21:47 25,600 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermptxp.sys
2006-11-13 21:47 22,768 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"RecordNow!"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-10-30 09:46 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-10-30 09:33 118784]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01 110592]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-26 18:15 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-26 18:15 536576]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-04-30 09:32 208958]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-04-30 12:50 274432]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-16 16:37 180269]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24 49152]
"ptask"="C:\Programme\SichererAntivirus\ptask.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-07-07 00:20:40 233472]
M-Audio Ozone Control Panel Launcher.lnk - C:\Programme\M-Audio Ozone\OZTask.exe [2003-01-31 19:34:50 98304]
NXT Library Installer.lnk - C:\Programme\Pschyrembel\bin\LibInst.Gui.exe [2008-01-27 17:08:17 20480]
Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [1997-09-03 23:00:00 51984]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-05-19 17:11 18577448 C:\Programme\Skype\Phone\Skype.exe

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 UKS11LDR;M-Audio USB Keystation Loader;C:\WINDOWS\system32\drivers\uks11ldr.sys []
S3 USBKT1X1;M-Audio USB Keystation;C:\WINDOWS\system32\drivers\usbkt1x1.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d5282932-4c90-11d5-99e3-00c09f46cc70}]
\Shell\AutoRun\command - E:\setupSNK.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-10 00:14:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????5?0?2?0??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-10 0:20:08
ComboFix-quarantined-files.txt 2008-02-09 23:20:03
ComboFix2.txt 2008-02-09 22:12:07
.
2008-01-10 20:55:41 --- E O F ---
Seitenanfang Seitenende
10.02.2008, 01:25
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 ««

erstelle eine neue cfscript.txt

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ptask"=-

Folder::
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\SichererAntivirus

ziehe die txt wieder auf Combofix + Combofix wieder anwenden , dann den rechner neustarten
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
10.02.2008, 02:05
...neu hier

Themenstarter

Beiträge: 8
#12 Danke für die Hilfe und Geduld zu so später Stund


ComboFix 08-02.05.3 - Daniel 2008-02-10 1:38:31.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.225 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Daniel\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-10 bis 2008-02-10 ))))))))))))))))))))))))))))))
.

2008-02-10 01:00 . 2004-08-03 23:57 401,408 --a------ C:\kmd.exe
2008-02-09 23:22 . 2008-02-09 23:22 1,910 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-09 23:20 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-02-09 23:20 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-02-09 23:20 . 2008-02-08 23:55 85,504 --a------ C:\WINDOWS\system32\VACFix.exe
2008-02-09 23:20 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-02-09 23:20 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-02-09 23:20 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-02-09 23:20 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-02-09 13:19 . 2008-02-09 13:29 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-09 13:19 . 2008-02-09 13:29 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-09 13:18 . 2008-02-09 13:18 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-02-09 13:18 . 2008-02-10 01:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-09 13:18 . 2008-02-10 01:55 3,476,512 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-09 13:18 . 2008-02-10 01:51 47,276 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-09 13:18 . 2008-02-10 01:52 25,632 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-09 13:18 . 2008-02-10 01:51 3,452 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-09 13:12 . 2008-02-09 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-02-08 20:32 . 2008-02-09 14:13 <DIR> d-------- C:\Programme\Ozone 3
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iZotope
2008-02-08 20:32 . 2008-02-08 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iZotope
2008-02-04 18:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-29 18:57 . 2002-02-03 02:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Steinberg
2008-01-29 18:56 . 2008-01-29 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Syncrosoft
2008-01-29 18:56 . 2006-01-29 12:48 147,425 --a------ C:\WINDOWS\system32\SYNSOACC-Aide.chm
2008-01-29 18:56 . 2006-01-29 12:48 120,468 --a------ C:\WINDOWS\system32\SYNSOACC-Hilfe.chm
2008-01-29 18:56 . 2006-01-29 12:48 114,279 --a------ C:\WINDOWS\system32\SYNSOACC-Help.chm
2008-01-29 18:56 . 2006-01-29 12:48 45,056 --a------ C:\WINDOWS\system32\Synsopos.exe
2008-01-29 18:56 . 2006-11-23 18:20 18,432 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys
2008-01-29 18:56 . 2008-01-29 18:56 2,892 --a------ C:\WINDOWS\system32\audcon.sys
2008-01-29 18:55 . 2008-02-02 14:04 <DIR> d-------- C:\Programme\Syncrosoft
2008-01-29 18:55 . 2007-09-03 12:47 765,952 --------- C:\WINDOWS\system32\SYNSOACC.dll
2008-01-29 18:55 . 2006-01-29 12:48 147,456 --a------ C:\WINDOWS\system32\SynsoLChk.dll
2008-01-29 11:22 . 2008-02-01 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\FileZilla
2008-01-29 11:21 . 2008-01-29 11:21 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-01-27 17:08 . 2002-02-03 03:09 <DIR> d-------- C:\Programme\Pschyrembel
2008-01-27 17:08 . 2004-06-23 10:53 1,045,776 -ra------ C:\WINDOWS\system32\msjet35.dll
2008-01-27 17:08 . 2004-06-23 10:52 149,504 -ra------ C:\WINDOWS\system32\WpdFilt.dll
2008-01-27 17:08 . 2004-05-26 10:50 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-01-27 17:08 . 2004-06-23 10:52 17,168 -ra------ C:\WINDOWS\system32\qperf.dll
2008-01-27 17:08 . 2004-06-23 10:52 764 -ra------ C:\WINDOWS\system32\WpdFilt.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 12:49 --------- d-----w C:\Programme\Ad-Aware 2007
2008-02-07 18:35 --------- d-----w C:\Programme\Steinberg
2008-02-07 18:13 --------- d-----w C:\Programme\M-Audio Ozone
2008-02-07 18:12 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-02-07 18:12 --------- d-----w C:\Programme\M-Audio USB Keyboard Device
2008-02-04 17:12 --------- d-----w C:\Programme\Cicil 2007
2008-02-04 17:11 --------- d-----w C:\Programme\Java
2008-01-29 18:02 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Steinberg
2007-12-12 19:13 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\hypercyclic
2006-11-13 21:47 25,600 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermptxp.sys
2006-11-13 21:47 22,768 ----a-w C:\Dokumente und Einstellungen\Daniel\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"RecordNow!"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-10-30 09:46 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-10-30 09:33 118784]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01 110592]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-26 18:15 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-26 18:15 536576]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-04-30 09:32 208958]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-04-30 12:50 274432]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-16 16:37 180269]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 10:24 49152]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-26 16:53 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-05-19 17:11 18577448 C:\Programme\Skype\Phone\Skype.exe

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 09:22]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 UKS11LDR;M-Audio USB Keystation Loader;C:\WINDOWS\system32\drivers\uks11ldr.sys []
S3 USBKT1X1;M-Audio USB Keystation;C:\WINDOWS\system32\drivers\usbkt1x1.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d5282932-4c90-11d5-99e3-00c09f46cc70}]
\Shell\AutoRun\command - E:\setupSNK.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-10 01:55:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????5?0?2?0??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\M-Audio Ozone\Install\Ozinst.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\Programme\M-Audio Ozone\OZTask.exe
C:\Programme\Pschyrembel\bin\LibInst.Gui.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-10 2:03:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-10 01:03:28
ComboFix2.txt 2008-02-10 00:22:14
.
2008-01-10 20:55:41 --- E O F ---
Seitenanfang Seitenende
10.02.2008, 13:19
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 seeehr schön ;)
nun scanne mit Counterspy - lasse alles gefundene entfernen + poste den report
http://virus-protect.org/counterspy1.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
10.02.2008, 14:45
...neu hier

Themenstarter

Beiträge: 8
#14 Hab ich gemacht, und alles entfernen lassen:
Hier der Report



Scan History Details
Start Date: 2008-02-10 13:37:16
End Date: 2008-02-10 14:40:12
Total Time: 62 Min 56 Sec
Detected security risks

Weatherbug Low Risk Adware more information...
Details: Weatherbug is an ad supported desktop weather applicaton that provides updates on weather conditions and displays real time temperatures in the taskbar icon.
Status: Deleted

Files detected
C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Control
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Implemented Categories
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\MiscStatus
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\MiscStatus
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\MiscStatus\1
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\MiscStatus\1
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Programmable
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\ToolboxBitmap32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\ToolboxBitmap32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Version
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Version
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\INTERFACE\{04A38F6B-006F-4247-BA4C-02A139D5531C}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MiniBugTransporter.MiniBugTransporterX.1
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX.1
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\MINIBUGTRANSPORTER.MINIBUGTRANSPORTERX\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0\0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{3C2D2A1E-031F-4397-9614-87C932A848E0}\1.0\HELPDIR


Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-2755458436-916350208-4179688785-1007\SOFTWARE\WGET


Oemji Bar Toolbar more information...
Details: Oemji Bar is a hijacker and toolbar that substitutes its search provider for the browser's default search provider.
Status: Deleted

Files detected
c:\programme\gemeinsame dateien\oem common\robj1.dll

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\Programmable
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\Programmable
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER.1
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER.1
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.CDOWNLOADPROGRESSCONTROLLER\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ.1
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ.1
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\NOAH.REGISTRATIONOBJ\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0\0
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\Software\Classes\TYPELIB\{0AC17D72-80F3-4F79-BFCC-9A779BA70334}\1.0\HELPDIR


SpySpotter Rogue Security Program more information...
Details: SpySpotter is a purported anti-spyware application to scan for and remove spyware from users' computers.

Files detected
C:\Programme\Gemeinsame Dateien\Oem Common\robj1.dll

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{3D20508E-59B9-4602-9CF9-49387E9D9BEB}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{D7F152AA-2FE1-4CFA-9838-6782BF85C929}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Noah.CDownloadProgressController.1
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Noah.RegistrationObj.1


SmartShopper Low Risk Adware more information...
Details: SmartShopper opens a sidebar on the left hand side of the IE browser window to display competitive "smartshopper" ads and offers when the user visits certain sites.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\TypeLib
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}\VersionIndependentProgID


WinAntiVirus Pro Rogue Security Program more information...
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\VXD\VSPF_HK
Seitenanfang Seitenende
10.02.2008, 23:05
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 Hallo ;)

den Counterspy kannst du in 2 Wochen wieder deinstallieren (oder kaufe ihn)
Alles Gute...bis zum nächsten Mal
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende