Advanced Cleaner, Malware, dauernde Popups - Entfernung?

#1 Hi,
Mein Problem ist gleich wie im Thema http://board.protecus.de/t32482.htm, nach der Anwendung von CCleaner wollte ich combofix fortfahren doch in der Anleitung stand, nicht ohne fachmännische Hilfe Verwenden.
also, findet sich jemand der bereit ist mir zu helfen?

Vielen Dank im Voraus
Stefan

#2 Poste mal die daten von. http://board.protecus.de/t23187.htm
__________
MfG Argus

#3 in der Anleitung steht, dass man keine Scripts in Combofix ohne Anleitung ausführen darf...aber die Combofix NORMAL anwenden + das Log posten, ist erlaubt
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#4 Log Datei

Zitat

ComboFix 08-02-13.2 - standard 2008-02-13 17:09:18.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.570 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\standard\Eigene Dateien\Indernet Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\standard\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\standard\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\standard\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\standard\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\standard\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\standard\Favoriten\Spyware&Malware Protection.url
C:\Programme\myglobalsearch
C:\Programme\myglobalsearch\bar\History\search
C:\Programme\winupdates
C:\WINDOWS\dat.txt
C:\WINDOWS\Downloaded Program Files\UWFX5_0001_N57M2112NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N56M1711NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\UWFX5U_0001_N57M1412NetInstaller.exe
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\expiorer.exe
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com

----- BITS: Possible infected sites -----

hxxp://onsafepro.com
hxxp://58.65.234.25
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm


((((((((((((((((((((((( Dateien erstellt von 2008-01-13 bis 2008-02-13 ))))))))))))))))))))))))))))))
.

2008-02-11 14:40 . 2008-02-11 14:40 <DIR> d-------- C:\Programme\CCleaner
2008-02-11 13:25 . 2006-12-24 21:12 12,337 --a------ C:\WINDOWS\_detmp.1
2008-02-10 20:25 . 2008-02-09 19:09 299,008 --a------ C:\WINDOWS\bdmnopx.dll
2008-02-10 20:25 . 2008-02-09 19:09 290,816 --a------ C:\WINDOWS\dmdqdrxgxq.dll
2008-02-10 20:25 . 2008-02-09 19:09 241,664 --a------ C:\WINDOWS\admggxp.dll
2008-02-10 20:25 . 2008-02-09 19:09 204,800 --a------ C:\WINDOWS\emotrlq.dll
2008-02-10 20:25 . 2008-02-09 19:09 98,304 --a------ C:\WINDOWS\fsxloqf.exe
2008-01-31 12:19 . 2008-01-31 12:19 <DIR> d-------- C:\Programme\Alcohol Soft
2008-01-31 12:19 . 2008-01-31 12:19 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2008-01-31 09:48 . 2008-01-31 09:48 <DIR> d-------- C:\Dokumente und Einstellungen\standard\Anwendungsdaten\CDZilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-13 16:14 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-11 12:21 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-11 12:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 12:17 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-01-31 11:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-31 08:54 643,072 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-23 16:41 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-01-14 17:20 --------- d-----w C:\Programme\ICQ6
2008-01-10 17:07 --------- d-----w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\Autodesk
2008-01-02 17:54 --------- d-----w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\Thunderbird
2008-01-02 17:20 --------- d-----w C:\Programme\Picasa2
2008-01-01 15:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-01 15:28 109,568 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-01-01 15:28 108,544 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-12-22 17:48 --------- d-----w C:\Programme\AutoCAD 2008
2007-12-22 17:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-12-22 17:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2007-12-22 17:44 --------- d-----w C:\Programme\Autodesk
2007-12-22 17:34 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd6429.sys
2007-12-14 12:28 --------- d-----w C:\Programme\Pingus
2007-08-01 14:26 50,200 ----a-w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2000-01-01 00:00 23 --sh--r C:\WINDOWS\mtlid64s2.dat
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2003-08-16 18:56 579,584 --sha-r C:\WINDOWS\system32\cd.exe
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-02-07 16:53 9,200 --sh--r C:\WINDOWS\system32\msivs10.dll
2006-02-07 16:53 9,200 --sh--r C:\WINDOWS\system32\msivsvt.dll
2005-11-06 12:49 184,618 --sha-r C:\WINDOWS\system32\patcher.exe
2005-12-22 18:23 816,640 --sha-r C:\WINDOWS\system32\smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E48B3E0C-2D23-4249-BE65-23A8719284E3}]
2008-02-09 19:09 290816 --a------ C:\WINDOWS\dmdqdrxgxq.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4FE6-8A56-BBB695989046}
{7B1E78A2-2FC8-4947-A9D1-5177D10B38E6}

[HKEY_CLASSES_ROOT\clsid\{7b1e78a2-2fc8-4947-a9d1-5177d10b38e6}]
[HKEY_CLASSES_ROOT\emotrlq.1]
[HKEY_CLASSES_ROOT\TypeLib\{0BF108AC-194F-4AA4-ABF0-5F9E7B5B3ABB}]
[HKEY_CLASSES_ROOT\emotrlq]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-11-07 12:16 177400]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"Thunderbird"="C:\\Programme\\Mozilla Thunderbird\\thunderbird.exe" [2007-11-01 00:18 8479856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 10:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 12:06 249896]
"NVRaidService"="C:\WINDOWS\System32\nvraidservice.exe" [2004-06-11 04:15 83968]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-06 19:29 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-28 14:47 155648]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"TerraTec Scheduler"="C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe" [2005-02-24 14:47 618496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"= C:\WINDOWS\System32\comusys.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"admggxp"= {D16CFAA6-EB80-449C-B53F-040F8889EA86} - C:\WINDOWS\admggxp.dll [2008-02-09 19:09 241664]
"bdmnopx"= {F70D6D95-62D5-4561-A7FB-0B6794D4D6D7} - C:\WINDOWS\bdmnopx.dll [2008-02-09 19:09 299008]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-19 17:43]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-19 17:43]
R3 3xHybrid;TerraTec BDA capture service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-04-15 04:50]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys [2004-04-26 16:54]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 17:14:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\WINDOWS\bdmnopx.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-13 17:18:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-13 16:18:46

HJT-Log Datei

Zitat

rend Micro HijackThis v2.0.2
Scan saved at 17:25:44, on 13.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\standard\Eigene Dateien\Rettung\Neuer Ordner\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: SXG Advisor - {E48B3E0C-2D23-4249-BE65-23A8719284E3} - C:\WINDOWS\dmdqdrxgxq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: emotrlq - {7B1E78A2-2FC8-4947-A9D1-5177D10B38E6} - C:\WINDOWS\emotrlq.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Thunderbird] C:\\Programme\\Mozilla Thunderbird\\thunderbird.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\System32\comusys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\22artyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\22artyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140956435109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140956421171
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA50DFB8-2ABC-4C8D-82A3-9E0E7E16D94A}: NameServer = 212.6.64.162
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: admggxp - {D16CFAA6-EB80-449C-B53F-040F8889EA86} - C:\WINDOWS\admggxp.dll
O21 - SSODL: bdmnopx - {F70D6D95-62D5-4561-A7FB-0B6794D4D6D7} - C:\WINDOWS\bdmnopx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 9855 bytes

Uninstall List

Zitat

Adobe Bridge 1.0
Adobe Common File Installer
Adobe Download Manager 2.0 (Nur entfernen)
Adobe Flash Player 9 ActiveX
Adobe Help Center 2.1
Adobe Photoshop CS2
Adobe Photoshop Elements 5.0
Adobe Reader 7.0.9 - Deutsch
Adobe Stock Photos 1.0
Adobe® Photoshop® Album Starter Edition 3.0
AOL Deinstallation
Athlon 64 Processor Driver
ATI - Software Uninstall Utility
ATI Control Panel
ATI Display Driver
ATI HydraVision
AutoCAD 2008 - English
Autodesk DWF Viewer 7
Avira AntiVir PersonalEdition Classic
Battlefield 1942
Battlefield 2(TM)
BearShare
BMW M3 Challenge
CCleaner (remove only)
Command & Conquer(TM) Generäle
Command and Conquer(TM) Generäle Die Stunde Null
dBpowerAMP Music Converter
Die Sims
DVD Shrink 3.1.7
Empire Earth
EVEREST Home Edition v2.20
Flashpoint uninstall
FMS32-PRO - Demoversion
Folder Access 2.1 Free Version
FormelBaska 3.11.750
FreeMind
Funktion
Google Earth
GTA San Andreas
Half-Life 2: CTF 1.7
Half-Life(R) 2
HijackThis 2.0.2
ICQ6
InstallRTC
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Java(TM) 6 Update 2
Java(TM) SE Development Kit 6
Java(TM) SE Runtime Environment 6
Java(TM) SE Runtime Environment 6 Update 1
Just Sudoku 1.0
Kai's Power Goo
Lernout & Hauspie TruVoice American English TTS Engine
Macromedia Flash Player 8
Macromedia Shockwave Player
MAGIX Foto Clinic 4.5 (D)
MatchWare Mediator 7 Pro Installation
Microsoft .NET Framework 2.0
Microsoft Office XP Professional mit FrontPage
Microsoft Speech Recognition Engine 4.0 (English)
MovieJack 4 Mobile
Mozilla Firefox (2.0.0.12)
Mozilla Thunderbird (2.0.0.9)
MP3 Splitter version 3.0
MP3-Tag-Editor 3.10
MPEG Scissors
MSXML 6.0 Parser
MultiRes (remove only)
Need for Speed™ Most Wanted
Nero 8 Demo
neroxml
NVIDIA Drivers
O&O Defrag Professional Edition
Opera 9.02
Palm Desktop
PartyPoker
PartyPokerNet
phase5
Photo Loader 3.0G
Photo Transport Ver. 1.0.0(E)
Photohands 1.0G
Photomatix Pro Version 2.4
Picasa 2
Pixbyte MPEG-Factory FE
Postal 2
Postal 2 Apocalypse Weekend Expansion Pack
Quake 4(TM)
QuickTime
Radeon Omega Drivers v2.6.75a Setup Files and Tools
RealPlayer
Realtek AC'97 Audio
RedEye (remove only)
Skype 3.0
Skype Plugin Manager
Sony Ericsson PC Suite
SpeechRedist
Steam(TM)
Supreme Commander Demo
Surf Robot
TerraTec Cinergy TV
TMPGEnc MPEG Editor 2.0 Testversion
TrackMania Nations ESWC 0.1.7.5
TRUST 640U SILVERLINE HEADSET USB
Ulead GIF Animator 5 Test
Unreal Tournament 2004
User Speech Profile
VCRedistSetup
Video DVD Maker Free v1.8.0.46
Viewpoint Media Player
Virtualdub 1.4.9
WIDCOMM Bluetooth Software
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 2
WinRAR Archivierer
XAMPP 1.5.5
YASA Video Converter v3.2 (build 0058)
Zoner Draw 4

dataFind

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54CD-1A93

Verzeichnis von C:\WINDOWS\system32

13.02.2008 17:14 12.871 lckfldservicelog.txt
13.02.2008 17:13 275.868 OODBS.lor
13.02.2008 17:05 2.206 wpa.dbl
02.01.2008 15:30 292.480 FNTCACHE.DAT
01.01.2008 16:28 56.832 pxcpya64.exe
01.01.2008 16:28 108.544 pxcpyi64.exe
01.01.2008 16:28 56.320 pxinsa64.exe
01.01.2008 16:28 109.568 pxinsi64.exe
01.01.2008 16:28 1.191.936 pxsfs.dll
25.12.2007 19:40 122 mslck.dat
24.12.2007 07:51 392.432 perfh009.dat
24.12.2007 07:51 58.732 perfc009.dat
24.12.2007 07:51 405.448 perfh007.dat
24.12.2007 07:51 70.778 perfc007.dat
24.12.2007 07:51 938.224 PerfStringBackup.INI
22.12.2007 18:36 263 spupdwxp.log
07.11.2007 15:03 188 MsiExec.exe.log
20.09.2007 09:55 95.600 NeroCo.dll
25.07.2007 15:21 5.214 jupdate-1.6.0_02-b06.log
12.07.2007 01:22 139.264 javaws.exe
12.07.2007 01:22 69.632 javacpl.cpl
12.07.2007 00:22 135.168 javaw.exe
12.07.2007 00:22 135.168 java.exe

Symptome:

- Bereits nach dem Start öffnet sich in den ersten 10 Sekunden ein Popup welches zum Installieren eines Virenschutzprogrammes auffordert und die nächsten Popups erscheinen dann im 1 Minuten Tackt.

- Der Internetbrowser stürtzt oft ab.

Vielen vielen Dank im Vorraus!

Stefan

#5 ««
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: SXG Advisor - {E48B3E0C-2D23-4249-BE65-23A8719284E3} - C:\WINDOWS\dmdqdrxgxq.dll

O3 - Toolbar: emotrlq - {7B1E78A2-2FC8-4947-A9D1-5177D10B38E6} - C:\WINDOWS\emotrlq.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O21 - SSODL: admggxp - {D16CFAA6-EB80-449C-B53F-040F8889EA86} - C:\WINDOWS\admggxp.dll

O21 - SSODL: bdmnopx - {F70D6D95-62D5-4561-A7FB-0B6794D4D6D7} - C:\WINDOWS\bdmnopx.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"admggxp"=-
"bdmnopx"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E48B3E0C-2D23-4249-BE65-23A8719284E3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"=-
"{7B1E78A2-2FC8-4947-A9D1-5177D10B38E6}"=-
[-HKEY_CLASSES_ROOT\clsid\{7b1e78a2-2fc8-4947-a9d1-5177d10b38e6}]
[-HKEY_CLASSES_ROOT\emotrlq.1]
[-HKEY_CLASSES_ROOT\TypeLib\{0BF108AC-194F-4AA4-ABF0-5F9E7B5B3ABB}]
[-HKEY_CLASSES_ROOT\emotrlq]

File::
C:\WINDOWS\System32\comusys.exe
C:\WINDOWS\_detmp.1
C:\WINDOWS\bdmnopx.dll
C:\WINDOWS\dmdqdrxgxq.dll
C:\WINDOWS\admggxp.dll
C:\WINDOWS\emotrlq.dll
C:\WINDOWS\fsxloqf.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1



----------------------------------------------------------------

PC neustarten

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
lade combofix neu + poste das Log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Argus

#6

Zitat

ComboFix 08-02-14.3 - standard 2008-02-14 19:35:44.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.576 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\standard\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-14 bis 2008-02-14 ))))))))))))))))))))))))))))))
.

2008-02-14 19:32 . 2004-08-04 00:57 401,408 --a------ C:\kmd.exe
2008-02-14 19:26 . 2008-02-14 19:33 0 --a------ C:\MUI00
2008-02-11 14:40 . 2008-02-11 14:40 <DIR> d-------- C:\Programme\CCleaner
2008-02-11 13:25 . 2006-12-24 21:12 12,337 --a------ C:\WINDOWS\_detmp.1
2008-02-10 20:25 . 2008-02-09 19:09 299,008 --a------ C:\WINDOWS\bdmnopx.dll
2008-02-10 20:25 . 2008-02-09 19:09 241,664 --a------ C:\WINDOWS\admggxp.dll
2008-02-10 20:25 . 2008-02-09 19:09 204,800 --a------ C:\WINDOWS\emotrlq.dll
2008-02-10 20:25 . 2008-02-09 19:09 98,304 --a------ C:\WINDOWS\fsxloqf.exe
2008-01-31 12:19 . 2008-01-31 12:19 <DIR> d-------- C:\Programme\Alcohol Soft
2008-01-31 12:19 . 2008-01-31 12:19 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2008-01-31 09:48 . 2008-01-31 09:48 <DIR> d-------- C:\Dokumente und Einstellungen\standard\Anwendungsdaten\CDZilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.-
2008-02-14 18:32 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-14 18:15 --------- d-----w C:\Programme\ICQToolbar
2008-02-11 12:21 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-11 12:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 12:17 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-01-31 11:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-31 08:54 643,072 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-23 16:41 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-01-14 17:20 --------- d-----w C:\Programme\ICQ6
2008-01-10 17:07 --------- d-----w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\Autodesk
2008-01-02 17:54 --------- d-----w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\Thunderbird
2008-01-02 17:20 --------- d-----w C:\Programme\Picasa2
2008-01-01 15:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-01 15:28 109,568 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-01-01 15:28 108,544 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-12-22 17:48 --------- d-----w C:\Programme\AutoCAD 2008
2007-12-22 17:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-12-22 17:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2007-12-22 17:44 --------- d-----w C:\Programme\Autodesk
2007-12-22 17:34 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd6429.sys
2007-12-14 12:28 --------- d-----w C:\Programme\Pingus
2007-08-01 14:26 50,200 ----a-w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2000-01-01 00:00 23 --sh--r C:\WINDOWS\mtlid64s2.dat
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2003-08-16 18:56 579,584 --sha-r C:\WINDOWS\system32\cd.exe
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-02-07 16:53 9,200 --sh--r C:\WINDOWS\system32\msivs10.dll
2006-02-07 16:53 9,200 --sh--r C:\WINDOWS\system32\msivsvt.dll
2005-11-06 12:49 184,618 --sha-r C:\WINDOWS\system32\patcher.exe
2005-12-22 18:23 816,640 --sha-r C:\WINDOWS\system32\smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-11-07 12:16 177400]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"Thunderbird"="C:\\Programme\\Mozilla Thunderbird\\thunderbird.exe" [2007-11-01 00:18 8479856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 10:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 12:06 249896]
"NVRaidService"="C:\WINDOWS\System32\nvraidservice.exe" [2004-06-11 04:15 83968]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-06 19:29 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-28 14:47 155648]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"TerraTec Scheduler"="C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe" [2005-02-24 14:47 618496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18 443968]

C:\Dokumente und Einstellungen\standard\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 18:16:50 113664]
PowerReg Scheduler.exe [2005-11-07 12:22:32 189952]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"= C:\WINDOWS\System32\comusys.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bdmnopx"= {03BE51DF-E849-41E2-A8FE-753043A4F675} - C:\WINDOWS\bdmnopx.dll [2008-02-09 19:09 299008]
"admggxp"= {174B1283-E75A-4C44-B8A3-6359CA4E2CF5} - C:\WINDOWS\admggxp.dll [2008-02-09 19:09 241664]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-19 17:43]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-19 17:43]
R3 3xHybrid;TerraTec BDA capture service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-04-15 04:50]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys [2004-04-26 16:54]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-14 19:38:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\WINDOWS\bdmnopx.dll
.
Zeit der Fertigstellung: 2008-02-14 19:39:33
ComboFix2.txt 2008-02-14 18:30:53

#7 red-attack

ja nun...alles noch da - du hast Script + Combofix nicht korrekt angewendet...

kopiere in den GV-Killer
http://virus-protect.org/artikel/tools/gvkiller.html

Zitat

C:\WINDOWS\System32\comusys.exe
C:\WINDOWS\_detmp.1
C:\WINDOWS\bdmnopx.dll
C:\WINDOWS\dmdqdrxgxq.dll
C:\WINDOWS\admggxp.dll
C:\WINDOWS\emotrlq.dll
C:\WINDOWS\fsxloqf.exe

Klicke "Kill on reboot" und lass den Rechner neu starten

+
poste das log vom GV-Killer + das neue Log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 Logfile GV_Killer_02.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 15.02.2008 13:52:44 log van standard , Beheerder van deze computer
Platform: Windows XP Prof SP2 DEU Normale modus

BEGIN Geplande taken-----------------------------------------------------------------
EINDE Geplande taken-----------------------------------------------------------------


Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
AtiExtEvent Ati2evxx.dll
Einde Notify keys--------------------------------------------------------------------

Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde Errorcodes--------------------------------------------------------------------

BEGIN Inhoud van Input.txt-----------------------------------------------------------
C:\WINDOWS\System32\comusys.exe
C:\WINDOWS\_detmp.1
C:\WINDOWS\bdmnopx.dll
C:\WINDOWS\dmdqdrxgxq.dll
C:\WINDOWS\admggxp.dll
C:\WINDOWS\emotrlq.dll
C:\WINDOWS\fsxloqf.exe
EINDE Inhoud van Input.txt-----------------------------------------------------------

53 C:\WINDOWS\System32\comusys.exe
53 C:\WINDOWS\_detmp.1
53 C:\WINDOWS\bdmnopx.dll
53 C:\WINDOWS\dmdqdrxgxq.dll
53 C:\WINDOWS\admggxp.dll
53 C:\WINDOWS\emotrlq.dll
53 C:\WINDOWS\fsxloqf.exe

;4455274-645-9496473-23875=L593MYWG52

;EINDE GV_Killer ---------------------------------------------------------------------

ComboFix 08-02-14.3 - standard 2008-02-15 14:09:33.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.556 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\standard\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\standard\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\standard\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\standard\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\standard\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\standard\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\standard\Favoriten\Spyware&Malware Protection.url

----- BITS: Possible infected sites -----

hxxp://softworldnetwork.com
hxxp://onsafepro.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-15 bis 2008-02-15 ))))))))))))))))))))))))))))))
.

2008-02-15 13:46 . 2008-02-15 13:46 <DIR> d-------- C:\Programme\GV_Killer
2008-02-15 13:46 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
2008-02-14 19:32 . 2004-08-04 00:57 401,408 --a------ C:\kmd.exe
2008-02-14 19:26 . 2008-02-14 19:33 0 --a------ C:\MUI00
2008-02-11 14:40 . 2008-02-11 14:40 <DIR> d-------- C:\Programme\CCleaner
2008-01-31 12:19 . 2008-01-31 12:19 <DIR> d-------- C:\Programme\Alcohol Soft
2008-01-31 12:19 . 2008-01-31 12:19 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2008-01-31 09:48 . 2008-01-31 09:48 <DIR> d-------- C:\Dokumente und Einstellungen\standard\Anwendungsdaten\CDZilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-15 12:57 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-15 12:44 --------- d-----w C:\Programme\ICQToolbar
2008-02-11 12:21 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-11 12:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 12:17 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-01-31 11:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-31 08:54 643,072 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-23 16:41 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-01-14 17:20 --------- d-----w C:\Programme\ICQ6
2008-01-10 17:07 --------- d-----w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\Autodesk
2008-01-02 17:54 --------- d-----w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\Thunderbird
2008-01-02 17:20 --------- d-----w C:\Programme\Picasa2
2008-01-01 15:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-01 15:28 109,568 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-01-01 15:28 108,544 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-12-22 17:48 --------- d-----w C:\Programme\AutoCAD 2008
2007-12-22 17:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-12-22 17:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2007-12-22 17:44 --------- d-----w C:\Programme\Autodesk
2007-12-22 17:34 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd6429.sys
2007-08-01 14:26 50,200 ----a-w C:\Dokumente und Einstellungen\standard\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2000-01-01 00:00 23 --sh--r C:\WINDOWS\mtlid64s2.dat
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2003-08-16 18:56 579,584 --sha-r C:\WINDOWS\system32\cd.exe
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-02-07 16:53 9,200 --sh--r C:\WINDOWS\system32\msivs10.dll
2006-02-07 16:53 9,200 --sh--r C:\WINDOWS\system32\msivsvt.dll
2005-11-06 12:49 184,618 --sha-r C:\WINDOWS\system32\patcher.exe
2005-12-22 18:23 816,640 --sha-r C:\WINDOWS\system32\smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-11-07 12:16 177400]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"Thunderbird"="C:\\Programme\\Mozilla Thunderbird\\thunderbird.exe" [2007-11-01 00:18 8479856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 10:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 12:06 249896]
"NVRaidService"="C:\WINDOWS\System32\nvraidservice.exe" [2004-06-11 04:15 83968]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-06 19:29 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-28 14:47 155648]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"TerraTec Scheduler"="C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe" [2005-02-24 14:47 618496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18 443968]

C:\Dokumente und Einstellungen\standard\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 18:16:50 113664]
PowerReg Scheduler.exe [2005-11-07 12:22:32 189952]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"= C:\WINDOWS\System32\comusys.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bdmnopx"= {03BE51DF-E849-41E2-A8FE-753043A4F675} - C:\WINDOWS\bdmnopx.dll [ ]
"admggxp"= {174B1283-E75A-4C44-B8A3-6359CA4E2CF5} - C:\WINDOWS\admggxp.dll [ ]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-19 17:43]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-19 17:43]
R3 3xHybrid;TerraTec BDA capture service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-04-15 04:50]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys [2004-04-26 16:54]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 14:12:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-15 14:13:27
ComboFix-quarantined-files.txt 2008-02-15 13:13:19
ComboFix2.txt 2008-02-14 18:39:34
ComboFix3.txt 2008-02-14 18:30:53

#9 Hallo

1.
HijackTHis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: SXG Advisor - {E48B3E0C-2D23-4249-BE65-23A8719284E3} - C:\WINDOWS\dmdqdrxgxq.dll

O3 - Toolbar: emotrlq - {7B1E78A2-2FC8-4947-A9D1-5177D10B38E6} - C:\WINDOWS\emotrlq.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O21 - SSODL: admggxp - {D16CFAA6-EB80-449C-B53F-040F8889EA86} - C:\WINDOWS\admggxp.dll

O21 - SSODL: bdmnopx - {F70D6D95-62D5-4561-A7FB-0B6794D4D6D7} - C:\WINDOWS\bdmnopx.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

3.
Lade Combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/