großes problem mit SpyWorm.win32

#0
22.02.2008, 23:36
...neu hier

Beiträge: 8
#1 ich hab mir nen SpyWorm.win32 eingefangen. hab mir auch ein paar andere themen dazu durchgelesen und ich muß sagen das ich keinen plan hab was da steht ;)( bitte helft einen noob wie mir ;)
Seitenanfang Seitenende
23.02.2008, 01:47
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

Erstellen eines Hijackthis-Logfiles
Entferne Hijack This 1.99 und download die letzte Version 2.0.2
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
23.02.2008, 13:31
...neu hier

Themenstarter

Beiträge: 8
#3 ComboFix 08-02-23.2 - David 2008-02-23 13:11:26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1018 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\David\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\VirusHeat 4.3
C:\Programme\VirusHeat 4.3\vpp.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-23 bis 2008-02-23 ))))))))))))))))))))))))))))))
.

2008-02-23 12:38 . 2008-02-23 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Lavasoft
2008-02-23 01:09 . 2008-02-23 01:10 465 --a------ C:\WINXP\wininit.ini
2008-02-23 00:18 . 2008-02-23 00:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Spybot - Search & Destroy
2008-02-22 23:06 . 2008-02-22 23:06 <DIR> d-------- C:\Programme\Greatis
2008-02-22 23:06 . 2008-02-22 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\Regrun
2008-02-22 23:06 . 2008-02-22 23:06 <DIR> d-------- C:\backreg
2008-02-22 23:06 . 2003-09-06 15:55 57,556 --a------ C:\WINXP\guard.bmp
2008-02-22 22:17 . 2008-02-22 22:17 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü
2008-02-22 22:17 . 2008-02-22 22:17 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü
2008-02-22 22:12 . 2007-09-06 09:45 19,000 --a------ C:\WINXP\system32\drivers\nvcw32mf.sys
2008-02-22 22:08 . 2008-02-23 12:03 <DIR> d-------- C:\VIRUSfighter
2008-02-22 21:00 . 2008-02-23 01:10 <DIR> d-------- C:\Programme\VirusRanger
2008-02-22 18:30 . 2008-02-22 19:22 <DIR> d-------- C:\Programme\AntiSpyKit 5.3
2008-02-21 23:27 . 2008-02-21 23:27 <DIR> d-------- C:\Programme\NetProject
2008-02-10 05:04 . 2008-02-10 05:04 <DIR> d-------- C:\Programme\Avira
2008-02-10 05:04 . 2008-02-10 05:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Avira
2008-02-10 04:47 . 2008-02-10 04:47 <DIR> d-------- C:\Programme\Files-Secure
2008-02-10 04:45 . 2008-02-10 04:47 48 --a------ C:\tmp.bat
2008-02-08 15:59 . 2008-02-08 15:59 <DIR> d---s---- C:\Dokumente und Einstellungen\David\UserData
2008-02-08 15:58 . 2008-02-08 15:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Messenger Plus!
2008-02-08 00:36 . 2008-02-08 15:58 <DIR> d-------- C:\Dokumente und Einstellungen\David\Contacts
2008-02-08 00:35 . 2008-02-08 00:35 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-02-08 00:32 . 2008-02-08 00:32 <DIR> d----c--- C:\WINXP\system32\DRVSTORE
2008-02-08 00:32 . 2008-02-08 00:32 <DIR> d-------- C:\Programme\Windows Live
2008-02-06 17:19 . 2008-02-06 17:19 <DIR> d-------- C:\Programme\America's Army Server Manager
2008-02-06 17:17 . 2008-02-06 17:19 <DIR> d-------- C:\Programme\America's Army
2008-02-02 21:44 . 2008-02-02 21:44 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-02-02 21:44 . 2008-02-02 21:44 34,064 --a------ C:\WINXP\system32\lhacm.acm
2008-01-31 03:02 . 2008-01-31 03:02 54,608 --a------ C:\WINXP\system32\xfcodec.dll
2008-01-27 15:08 . 2008-02-05 01:17 <DIR> d-------- C:\Programme\STOPzilla!
2008-01-27 15:08 . 2008-02-05 01:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\STOPzilla!
2008-01-24 19:33 . 2005-01-28 12:49 106,496 --a------ C:\WINXP\system32\GUStrLib.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-23 12:12 --------- d-----w C:\Programme\Crawler
2008-02-23 12:10 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\Xfire
2008-02-23 11:38 --------- d-----w C:\Programme\Lavasoft
2008-02-23 11:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-23 11:11 --------- d-----w C:\Programme\ICQToolbar
2008-02-22 23:18 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-22 21:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-22 18:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP
2008-02-14 18:57 --------- d-s---w C:\Programme\Xfire
2008-02-08 15:08 22,328 ----a-w C:\WINXP\system32\drivers\PnkBstrK.sys
2008-02-08 15:08 107,832 ----a-w C:\WINXP\system32\PnkBstrB.exe
2008-02-06 20:03 66,872 ----a-w C:\WINXP\system32\PnkBstrA.exe
2008-01-19 16:15 --------- d-----w C:\Programme\EA GAMES
2008-01-19 14:37 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\funkitron
2008-01-19 14:34 --------- d-----w C:\Programme\ICQ Spiele
2008-01-19 12:57 --------- d-----w C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\Xfire
2008-01-18 21:51 --------- d-----w C:\Programme\GameSpy Arcade
2008-01-18 21:50 --------- d-----w C:\Programme\AWS
2008-01-18 21:32 --------- d-----w C:\Programme\Activision
2008-01-18 20:32 --------- d-----w C:\Programme\SystemRequirementsLab
2008-01-18 20:25 --------- d-----w C:\Programme\Java
2008-01-18 20:15 22,328 ----a-w C:\Dokumente und Einstellungen\David\Anwendungsdaten\PnkBstrK.sys
2008-01-18 19:45 --------- d-----w C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten\Xfire
2008-01-18 18:32 --------- d-----w C:\Programme\avmwlanstick
2007-12-05 01:53 356,352 ----a-w C:\WINXP\system32\NVUNINST.EXE
2005-04-29 13:28 457 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]
2008-02-23 12:05 9728 --a------ C:\Programme\NetProject\sbmdl.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D70E28A7-AA79-4D62-A59F-87024840BB62}]
C:\WINXP\sysvol32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4FE6-8A56-BBB695989046}
{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
{81705D67-3F73-4983-859B-97D0922E5ABE}

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"= C:\Programme\NetProject\wamdl.dll [2008-02-21 23:27 70656]

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"Steam"="c:\programme\valve\steam\steam.exe" [2008-01-19 05:34 1266936]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-07-12 16:33 1581056 C:\WINXP\mixer.exe]
"Tray Temperature"="C:\PROGRA~1\AWS\MiniBug.exe" [ ]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 00:00 1454080]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NvCplDaemon"="C:\WINXP\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINXP\system32\nwiz.exe]
"NvMediaCenter"="C:\WINXP\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-10 05:07 249896]
"VirusRanger"="C:\Programme\VirusRanger\VirusRanger.exe" [ ]
"Norman ZANDA"="C:\VIRUSfighter\Npm\bin\ZLH.exe" [2007-08-09 14:40 183352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotSnD"="C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" [2008-01-28 11:43 5146448]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

C:\Dokumente und Einstellungen\All Users.WINXP\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-30 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"= C:\Programme\NetProject\scit.exe
"start"= C:\Programme\NetProject\sbmntr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"= %windir%\\system32\\sessmgr.exe:@xpsp2res.dll,-22019
"C:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Dokumente und Einstellungen\\David\\Lokale Einstellungen\\Temp\\usmt\\migwiz.exe"=
"C:\\Programme\\THQ\\Dawn of War - Dark Crusade Demo\\DarkCrusade.exe"=
"C:\\Programme\\games\\Lords.ree"=
"C:\\Programme\\Miranda IM\\miranda32.exe"=
"C:\\Programme\\Atari\\Axis & Allies\\AA.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"C:\\Programme\\PANZERS - Phase1\\Run\\Panzers.exe"=
"C:\\WINXP\\system32\\dplaysvr.exe"=
"C:\\Programme\\games\\Cossacks - The Art Of War\\DMCR.EXE"=
"C:\\Programme\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Programme\\LucasArts\\Star Wars Battlefront\\GameData\\Battlefront.exe"=
"C:\\Programme\\games\\ET\\ETDED.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\EA GAMES\\Command & Conquer Die ersten 10 Jahre\\Command & Conquer(tm) Tiberian Sun(tm)\\SUN\\Game.exe"=
"C:\\Programme\\EA GAMES\\Command & Conquer Die ersten 10 Jahre\\Command & Conquer Red Alert(tm) II\\AR2\\game.exe"=
"C:\\Programme\\Lords of EverQuest\\Lords.ree"=
"C:\\Programme\\EA GAMES\\Battlefield 1942\\BF1942.exe"=
"C:\\Programme\\Atari\\Shadow Ops Red Mercury\\System\\RM.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Games\\ET\\ETDED.exe"=
"C:\\Programme\\EA GAMES\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINXP\\system32\\PnkBstrA.exe"=
"C:\\WINXP\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R2 Ndiskio;Ndiskio;C:\VIRUSfighter\Nse\bin\NDISKIO.SYS [2007-01-02 09:55]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINXP\system32\DRIVERS\fwlanusb.sys [2007-01-26 01:00]
R3 NvcMFlt;NvcMFlt;C:\WINXP\system32\DRIVERS\nvcw32mf.sys [2007-09-06 09:45]
R3 nvcoas;Norman Virus Control on-access component;C:\VIRUSfighter\Nvc\bin\nvcoas.exe [2007-12-12 11:45]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE [2007-05-23 13:23]
S3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINXP\system32\DRIVERS\AN983.sys [2004-08-03 22:31]
S3 avmeject;AVM Eject;C:\WINXP\system32\drivers\avmeject.sys [2007-01-26 01:00]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\David\LOKALE~1\Temp\bDMusicb.sys []
S3 nvcfsr;nvcfsr;C:\VIRUSfighter\Nvc\bin\nvcfsr.sys [2007-01-09 14:25]
S3 nvcoafl51;nvcoafl51;C:\VIRUSfighter\Nvc\bin\nvcoafl51.sys [2007-01-09 14:25]
S3 nvcoaft51;nvcoaft51;C:\VIRUSfighter\Nvc\bin\nvcoaft51.sys [2007-01-09 14:25]
S3 nvcoarc51;nvcoarc51;C:\VIRUSfighter\Nvc\bin\nvcoarc51.sys [2007-01-09 14:25]

*Newly Created Service* - AAWSERVICE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-23 13:13:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-23 13:14:41
ComboFix-quarantined-files.txt 2008-02-23 12:14:38
Seitenanfang Seitenende
23.02.2008, 17:59
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Hallo Corbinus

du hast dir diesen Wurm natürlich nicht eingefangen, sondern bist auf ein gefälschtes Virenprogramm" reingefallen.

1.
klicke bitte mit rechtklick auf: - mit Texteditor öffnen - poste, was da steht

C:\WINXP\wininit.ini

------

2.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

NetProject

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

das gleiche mache mit:

VirusRanger

AntiSpyKit

--------------------------------------------------------------------------------------------
3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\Software\NetProject]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\VirusRanger]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusRanger]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"=-
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
"{81705D67-3F73-4983-859B-97D0922E5ABE}"=-
[-HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D70E28A7-AA79-4D62-A59F-87024840BB62}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"=-
"start"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusRanger"=-

File::
C:\WINXP\guard.bmp
C:\WINXP\wininit.ini
C:\WINXP\sysvol32.dll

Folder::
C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRanger
C:\Programme\NetProject
C:\Programme\VirusRanger
C:\Programme\AntiSpyKit 5.3

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden - tippe 1



4.
PC neustarten

5.
poste das neue Log von Combofix, also die Combofix zur Überprüfung noch mal anwenden
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
23.02.2008, 19:56
...neu hier

Themenstarter

Beiträge: 8
#5 [rename]
c:\tempjunk5664.tmp=C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRanger\VirusRanger v3.6.0 Un-Installer.lnk
nul=c:\tempjunk7343.tmp
c:\tempjunk4937.tmp=C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRanger\VirusRanger v3.6.0 Website.lnk
c:\tempjunk3242.tmp=C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRanger\VirusRanger v3.6.0.lnk
c:\tempjunk7343.tmp=C:\Programme\VirusRanger\Languages\english.ini
Seitenanfang Seitenende
23.02.2008, 22:57
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 2.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

NetProject

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

das gleiche mache mit:

VirusRanger

AntiSpyKit

----------

danach kanst du gleich cfscript.txt + Combofix abarbeiten....
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
23.02.2008, 23:29
...neu hier

Themenstarter

Beiträge: 8
#7 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 23.02.2008 23:12:05 for strings:
; 'netproject'
; 'virusranger'
; 'antispykit'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusRanger]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusRanger"="C:\\Programme\\VirusRanger\\VirusRanger.exe /s"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\VirusRanger]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\NetProject\\scit.exe"="scit"
"C:\\Programme\\NetProject\\sbmntr.exe"="sbmntr"

[HKEY_CURRENT_USER\Software\NetProject]

[HKEY_CURRENT_USER\Software\NetProject]
"Path"="C:\\Programme\\NetProject"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 23.02.2008 23:14:16 for strings:
; 'virusranger'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusRanger]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusRanger"="C:\\Programme\\VirusRanger\\VirusRanger.exe /s"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\VirusRanger]

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 23.02.2008 23:16:00 for strings:
; 'antispykit'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

als ich cfscript.txt in combofix gezogen hab steht da:
zitat: Abbrechen-08-02-24.2
Jetziges datum ist 23.02.08.Diese Kopie von ComboFix ist abgelaufen.
L"sche diese Kopie bevor du eine neuere Version herunter l"dst zitat ende.
Seitenanfang Seitenende
24.02.2008, 00:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK
Entferne auf C:\combofix.txt

Scanne mit CounterSpy
http://virus-protect.org/counterspy1.html
Poste das Log

Scanne mit Malwarebytes Anti-Malware
http://virus-protect.org/artikel/tools/malwarebytes.html
Entferne die gefundene infektionen und poste das log

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
24.02.2008, 12:02
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 Hallo,

kleine Reihenfolge-Korrektur ;), auch wenn Arnold sehen will, was die Scanner können ;) - kan man ja sehen, ob sie die Quarantäne von Combofix erkennen...

««
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
Lade erst mal die Combofix neu,
http://virus-protect.org/artikel/tools/combofix.html

««
dann wende das cfscript.txt-script an, wie oben erklärt, erstelle bitte eine neue cfscript.txt, denn ich habe editiert.

««
dann kanst du mit counterspy scannen
http://virus-protect.org/counterspy1.html

««
Malwarebytes Anti-Malware
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
24.02.2008, 20:05
...neu hier

Themenstarter

Beiträge: 8
#10 ((((((((((((((((((((((( Dateien erstellt von 2008-01-24 bis 2008-02-24 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D70E28A7-AA79-4D62-A59F-87024840BB62}]
C:\WINXP\sysvol32.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE52F122-FAFC-4564-8227-62C0555432E0}]
C:\WINXP\system32\ddaby.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxywx]
byxxywx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
crypt32.dll 2006-02-28 13:00 602624 C:\WINXP\system32\crypt32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
cryptnet.dll 2006-02-28 13:00 63488 C:\WINXP\system32\cryptnet.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
cscdll.dll 2006-02-28 13:00 102912 C:\WINXP\system32\cscdll.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
wlnotify.dll 2006-02-28 13:00 93696 C:\WINXP\system32\wlnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
wlnotify.dll 2006-02-28 13:00 93696 C:\WINXP\system32\wlnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
sclgntfy.dll 2006-02-28 13:00 23040 C:\WINXP\system32\sclgntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
WlNotify.dll 2006-02-28 13:00 93696 C:\WINXP\system32\wlnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
wlnotify.dll 2006-02-28 13:00 93696 C:\WINXP\system32\wlnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]
wlnotify.dll 2006-02-28 13:00 93696 C:\WINXP\system32\wlnotify.dll

R2 Ndiskio;Ndiskio;C:\VIRUSfighter\Nse\bin\NDISKIO.SYS [2007-01-02 09:55]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINXP\system32\DRIVERS\fwlanusb.sys [2007-01-26 01:00]
R3 NvcMFlt;NvcMFlt;C:\WINXP\system32\DRIVERS\nvcw32mf.sys [2007-09-06 09:45]
R3 nvcoas;Norman Virus Control on-access component;C:\VIRUSfighter\Nvc\bin\nvcoas.exe [2007-12-12 11:45]
R3 NVCScheduler;Norman Virus Control Scheduler;C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE [2007-05-23 13:23]
S3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINXP\system32\DRIVERS\AN983.sys [2004-08-03 22:31]
S3 avmeject;AVM Eject;C:\WINXP\system32\drivers\avmeject.sys [2007-01-26 01:00]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\David\LOKALE~1\Temp\bDMusicb.sys []
S3 nvcfsr;nvcfsr;C:\VIRUSfighter\Nvc\bin\nvcfsr.sys [2007-01-09 14:25]
S3 nvcoafl51;nvcoafl51;C:\VIRUSfighter\Nvc\bin\nvcoafl51.sys [2007-01-09 14:25]
S3 nvcoaft51;nvcoaft51;C:\VIRUSfighter\Nvc\bin\nvcoaft51.sys [2007-01-09 14:25]
S3 nvcoarc51;nvcoarc51;C:\VIRUSfighter\Nvc\bin\nvcoarc51.sys [2007-01-09 14:25]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
FastUserSwitchingCompatibility
HidServ
LanmanServer
LanmanWorkstation
Messenger
Nla
NWCWorkstation
Schedule
Seclogon
SRService
Themes
TrkWks
W32Time
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 12:41:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\PnkBstrA.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\WINXP\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-24 12:44:08 - machine was rebooted [David]
ComboFix-quarantined-files.txt 2008-02-24 11:44:06

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:39, on 24.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\PnkBstrA.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINXP\system32\slserv.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\WINXP\System32\alg.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Mixer.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\WINXP\system32\ctfmon.exe
C:\WINXP\System32\svchost.exe
C:\programme\valve\steam\steam.exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijack This\hijackthis.exe
C:\WINXP\system32\wbem\wmiprvse.exe

Code

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.myownstartpage.net/?cm=240744&lt=1&it=2008-02-21%2023%3A27%3A16&dt
=2008-03-07%2013%3A42%3A47&q=
http://www.ourporntv.com/ to verify your age, REQUIRED!               WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point!                                          Are you at least 18 years old
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66019
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66019
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - (no file)
O2 - BHO: Sysem Player - {D70E28A7-AA79-4D62-A59F-87024840BB62} - C:\WINXP\sysvol32.dll (file missing)
O2 - BHO: (no name) - {FE52F122-FAFC-4564-8227-62C0555432E0} - C:\WINXP\system32\ddaby.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O3 - Toolbar: (no name) - {81705D67-3F73-4983-859B-97D0922E5ABE} - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VirusRanger] C:\Programme\VirusRanger\VirusRanger.exe /s
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{731486A0-51E9-438D-B257-B511B8D81D54}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{7484CA17-2EB9-404A-ACD1-457A1A17E217}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{74B80FBA-F9B2-4623-8134-ACB09220F260}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF788973-AAD1-42BB-B968-D9FD96F5C7C1}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{F70DBA32-7027-4FA0-8DD7-B0689D83022A}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.105 85.255.112.156
O17 - HKLM\System\CS1\Services\Tcpip\..\{731486A0-51E9-438D-B257-B511B8D81D54}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{731486A0-51E9-438D-B257-B511B8D81D54}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.105 85.255.112.156
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O20 - Winlogon Notify: byxxywx - byxxywx.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINXP\SYSTEM32\slserv.exe

--
End of file - 9671 bytes

Malwarebytes' Anti-Malware hat ein Problem festgestellt und muss beendet werden

mfg Corbinus
Seitenanfang Seitenende
24.02.2008, 21:16
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 Corbinus

1.
HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle
fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.myownstartpage.net/?cm=240744<=1&it=2008-02-21%2023%3A27%3
A16&dt=2
008-03-07%2013%3A42%3A47&q=http://www.ourporntv.com/ to verify your age, REQUIRED! WARNING! Adult pictures are featured in this site. Only adults permitted beyond this point! Are you at least 18 years old

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66019

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66019

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - (no file)

O2 - BHO: Sysem Player - {D70E28A7-AA79-4D62-A59F-87024840BB62} - C:\WINXP\sysvol32.dll (file missing)

O2 - BHO: (no name) - {FE52F122-FAFC-4564-8227-62C0555432E0} - C:\WINXP\system32\ddaby.dll (file missing)

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll

O3 - Toolbar: (no name) - {81705D67-3F73-4983-859B-97D0922E5ABE} - (no file)

O4 - HKLM\..\Run: [VirusRanger] C:\Programme\VirusRanger\VirusRanger.exe /s

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{731486A0-51E9-438D-B257-B511B8D81D54}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{7484CA17-2EB9-404A-ACD1-457A1A17E217}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{74B80FBA-F9B2-4623-8134-ACB09220F260}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF788973-AAD1-42BB-B968-D9FD96F5C7C1}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CCS\Services\Tcpip\..\{F70DBA32-7027-4FA0-8DD7-B0689D83022A}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.105 85.255.112.156
O17 - HKLM\System\CS1\Services\Tcpip\..\{731486A0-51E9-438D-B257-B511B8D81D54}: NameServer = 85.255.114.105,85.255.112.156
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{731486A0-51E9-438D-B257-B511B8D81D54}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.105 85.255.112.156

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll

O20 - Winlogon Notify: byxxywx - byxxywx.dll (file missing)

2.
erstelle eine neue cfscript.txt (laut Anleitung) - dann wieder auf das Symbol von Combofix ziehen + die Combofix erneut anwenden

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D70E28A7-AA79-4D62-A59F-87024840BB62}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE52F122-FAFC-4564-8227-62C0555432E0}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxywx]
[-HKEY_CURRENT_USER\Software\NetProject]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\VirusRanger]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusRanger]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"=-
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
"{81705D67-3F73-4983-859B-97D0922E5ABE}"=-
[-HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A1C5CB-C0EF-4689-9436-F62CCA1C5383}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D70E28A7-AA79-4D62-A59F-87024840BB62}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"=-
"start"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusRanger"=-

File::
C:\WINXP\guard.bmp
C:\WINXP\wininit.ini
C:\WINXP\sysvol32.dll

Folder::
C:\Programme\Crawler
C:\Dokumente und Einstellungen\David\Startmenü\Programme\VirusRanger
C:\Programme\NetProject
C:\Programme\VirusRanger
C:\Programme\AntiSpyKit 5.3


2.
wende an:fixwareout
http://virus-protect.org/artikel/tools/fixwareout.html

poste nach neustart das log

+
das neue Log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
24.02.2008, 22:48
...neu hier

Themenstarter

Beiträge: 8
#12 Username "David" - 2008-02-24 22:37:19 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdtrk.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{731486A0-51E9-438D-B257-B511B8D81D54}
"DhcpNameServer"="85.255.114.105,85.255.112.156" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{7484CA17-2EB9-404A-ACD1-457A1A17E217}
"DhcpNameServer"="85.255.114.105,85.255.112.156" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{74B80FBA-F9B2-4623-8134-ACB09220F260}
"DhcpNameServer"="85.255.114.105,85.255.112.156" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{AF788973-AAD1-42BB-B968-D9FD96F5C7C1}
"DhcpNameServer"="85.255.114.105,85.255.112.156" <Value cleared.

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINXP\Temp\kdtrk.ren 78336 2006-02-28

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"C-Media Mixer"="Mixer.exe /startup"
"Tray Temperature"="C:\\PROGRA~1\\AWS\\MiniBug.exe 1"
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINXP\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINXP\\system32\\NvMcTray.dll,NvTaskbarInit"
"avgnt"="\"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Norman ZANDA"="C:\\VIRUSfighter\\Npm\\bin\\ZLH.EXE /LOAD /SPLASH"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINXP\\system32\\ctfmon.exe"
"Steam"="\"c:\\programme\\valve\\steam\\steam.exe\" -silent"
"MsnMsgr"="\"C:\\Programme\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:47, on 2008-02-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\PnkBstrA.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINXP\system32\slserv.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\WINXP\System32\alg.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Mixer.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\WINXP\system32\ctfmon.exe
C:\programme\valve\steam\steam.exe
C:\WINXP\System32\svchost.exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINXP\system32\wbem\wmiprvse.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\Hijack This\hijackthis.exe
C:\WINXP\system32\wbem\wmiprvse.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINXP\SYSTEM32\slserv.exe

--
End of file - 6629 bytes

mfg Corbinus
Seitenanfang Seitenende
24.02.2008, 22:51
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 Hi,

«
hast du das script von Combofix korrekt angewendet ??

«
das sieht schon bedeutend besser aus ...du solltest deine Surfgewohnheiten überdenken, du surfst auf Seiten, die dem Rechner nicht guttun, sogar die Internetverbindung wurde umgeleitet ;)

««
fixe mit hijackThis:

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000

O8 - Extra context menu item: Crawler Search - tbr:iemenu


-------
««
neue Startseite - IE
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

««
scanne mit counterspy (hast du ja schon geladen..)
http://virus-protect.org/counterspy1.html
lasse alles gefundene löschen +
und poste hier den scanreport
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
25.02.2008, 20:26
...neu hier

Themenstarter

Beiträge: 8
#14 servus,
ich hab das script angewendet.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:07, on 2008-02-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\PnkBstrA.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINXP\system32\slserv.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\WINXP\System32\alg.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Mixer.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\WINXP\system32\ctfmon.exe
C:\programme\valve\steam\steam.exe
C:\WINXP\System32\svchost.exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINXP\system32\wbem\wmiprvse.exe
C:\Programme\Hijack This\hijackthis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINXP\SYSTEM32\slserv.exe

--
End of file - 6462 bytes

Scan History Details
Start Date: 2008-02-25 19:07:14
End Date: 2008-02-25 20:20:35
Total Time: 73 Min 21 Sec
Detected security risks

KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-1614895754-562591055-1801674531-1003\SOFTWARE\KAZAA
HKEY_USERS\S-1-5-21-1614895754-562591055-1801674531-1003\SOFTWARE\KAZAA\LocalContent


Weatherbug Low Risk Adware more information...
Details: Weatherbug is an ad supported desktop weather applicaton that provides updates on weather conditions and displays real time temperatures in the taskbar icon.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-1614895754-562591055-1801674531-1003\SOFTWARE\AWS


Messenger Plus! Adware Bundler more information...
Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-1614895754-562591055-1801674531-1003\SOFTWARE\PATCHOU
HKEY_USERS\S-1-5-21-1614895754-562591055-1801674531-1003\SOFTWARE\PATCHOU\Messenger Plus! Live
HKEY_USERS\S-1-5-21-1614895754-562591055-1801674531-1003\SOFTWARE\PATCHOU\Messenger Plus! Live

Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-1614895754-562591055-1801674531-1003\SOFTWARE\WGET


Trojan-Downloader.Zlob.Media-Codec Trojan Downloader more information...
Details: Trojan-Downloader.Zlob.Media-Codec is a program that typically purports to be a needed upgrade to Windows Media Player in order to view adult oriented videos on certain websites. However, Trojan-Downloader.Zlob.Media-Codec actually downloads and installs additional malware on the user's machine.
Status: Deleted

Files detected
C:\Dokumente und Einstellungen\David\Favoriten\Online Security Test.url


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\david\cookies\david@2o7[1].txt
c:\dokumente und einstellungen\david\cookies\david@atdmt[2].txt
c:\dokumente und einstellungen\david\cookies\david@counter3.sextracker[1].txt
c:\dokumente und einstellungen\david\cookies\david@sextracker[1].txt
c:\dokumente und einstellungen\david\cookies\david@weborama[2].txt

mfg Corbinus
Seitenanfang Seitenende
26.02.2008, 13:15
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 scanne mit ESET Online Scanner + poste hier den scanreport
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: