virus SpyWorm.Win32

#0
26.02.2008, 11:50
...neu hier

Beiträge: 4
#1 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:29, on 26.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\NetProject\scit.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.routerlogin.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Programme\NetProject\wamdl.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Spy Watcher] "C:\PROGRA~1\FREESP~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\poker\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.explorertool.net/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 8115 bytes

___________________________________________________________________
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: B8E4-0425

Verzeichnis von C:\WINDOWS\system32

26.02.2008 11:16 452.776 perfh007.dat
26.02.2008 11:16 435.920 perfh009.dat
26.02.2008 11:16 70.066 perfc009.dat
26.02.2008 11:16 82.768 perfc007.dat
26.02.2008 11:16 1.053.812 PerfStringBackup.INI
26.02.2008 10:11 2.206 wpa.dbl
25.02.2008 11:08 7.952 OODDRMBS.EXE
20.02.2008 14:17 5 SySmp3con.dat
20.02.2008 12:46 5 SySVTA.dat
15.02.2008 12:18 1.640.912 FNTCACHE.DAT
05.02.2008 00:09 18.214.008 MRT.exe
31.01.2008 03:02 54.608 xfcodec.dll
22.01.2008 21:44 368.640 ATIDEMGX.dll
22.01.2008 21:43 272.384 ati2dvag.dll
22.01.2008 21:39 307.200 atiiiexx.dll
22.01.2008 21:36 9.949.184 atioglx2.dll
22.01.2008 21:35 147.456 atipdlxx.dll
22.01.2008 21:35 122.880 Oemdspif.dll
22.01.2008 21:35 26.112 Ati2mdxx.exe
22.01.2008 21:35 43.520 ati2edxx.dll
22.01.2008 21:35 122.880 ati2evxx.dll
22.01.2008 21:34 512.000 ati2evxx.exe
22.01.2008 21:33 53.248 ATIDDC.DLL
22.01.2008 21:25 3.121.920 ati3duag.dll
22.01.2008 21:14 1.664.256 ativvaxx.dll
22.01.2008 21:14 887.724 ativva6x.dat
22.01.2008 21:04 46.080 amdpcom32.dll
22.01.2008 21:01 385.024 atikvmag.dll
22.01.2008 20:59 17.408 atitvo32.dll
22.01.2008 20:58 5.435.392 atioglxx.dll
22.01.2008 20:57 163.840 atiok3x2.dll
22.01.2008 20:53 503.808 ati2cqag.dll
22.01.2008 14:42 593.920 ati2sgag.exe
17.01.2008 08:31 13.312 BASSMOD.dll
07.01.2008 15:43 165.782 atiicdxx.dat
23.12.2007 10:12 107.832 PnkBstrB.exe
17.12.2007 09:50 2.177 LXBRSET.INI
16.12.2007 14:00 66.872 PnkBstrA.exe
15.12.2007 10:09 107.888 CmdLineExt.dll
12.12.2007 15:13 266.294 TZLog.log
09.12.2007 11:07 5.686 jupdate-1.6.0_03-b05.log
07.12.2007 15:36 3.080.192 mshtml.dll
07.12.2007 02:06 665.088 wininet.dll
07.12.2007 02:06 1.494.528 shdocvw.dll
07.12.2007 02:06 474.624 shlwapi.dll
07.12.2007 02:06 617.472 urlmon.dll
07.12.2007 02:06 532.480 mstime.dll
07.12.2007 02:06 39.424 pngfilt.dll
07.12.2007 02:06 449.024 mshtmled.dll
07.12.2007 02:06 146.432 msrating.dll
07.12.2007 02:06 251.392 iepeers.dll
07.12.2007 02:06 96.768 inseng.dll
07.12.2007 02:06 55.808 extmgr.dll
07.12.2007 02:06 357.888 dxtmsft.dll
07.12.2007 02:06 16.384 jsproxy.dll
07.12.2007 02:06 205.312 dxtrans.dll
07.12.2007 02:06 1.023.488 browseui.dll
07.12.2007 02:06 152.064 cdfview.dll
07.12.2007 02:06 1.056.256 danim.dll
07.12.2007 00:40 373.760 xpsp3res.dll
04.12.2007 19:40 550.912 oleaut32.dll
04.12.2007 18:14 34.064 lhacm.acm
04.12.2007 16:23 499.712 msvcp71.dll
04.12.2007 16:23 348.160 msvcr71.dll
04.12.2007 16:00 261 $winnt$.inf
04.12.2007 15:57 2.951 CONFIG.NT
04.12.2007 15:57 488 logonui.exe.manifest
04.12.2007 15:57 488 WindowsLogon.manifest
04.12.2007 15:56 749 cdplayer.exe.manifest
04.12.2007 15:56 749 wuaucpl.cpl.manifest
04.12.2007 15:56 749 sapi.cpl.manifest
04.12.2007 15:56 749 nwc.cpl.manifest
04.12.2007 15:56 749 ncpa.cpl.manifest
04.12.2007 15:54 21.740 emptyregdb.dat
04.12.2007 15:52 0 h323log.txt
Seitenanfang Seitenende
26.02.2008, 12:05
Moderator

Beiträge: 7805
#2 Bitte einmal diese Reinigungsanleitung abarbeiten: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php


Dann bitte ein neues Combofix und Hijackthis Log erstellen und posten. http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.02.2008, 12:26
...neu hier

Themenstarter

Beiträge: 4
#3 ComboFix 08-02-25.3 - nice 2008-02-26 12:19:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.621 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\nice\Desktop\SpyWorm.Win32 Programe\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-26 bis 2008-02-26 ))))))))))))))))))))))))))))))
.

2008-02-26 12:09 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-02-26 12:09 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-02-26 12:09 . 2008-02-22 18:44 86,016 --a------ C:\WINDOWS\system32\VACFix.exe
2008-02-26 12:09 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-02-26 12:09 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-02-26 12:09 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-02-26 12:09 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-02-26 12:09 . 2008-02-26 12:14 2,714 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-26 11:35 . 2008-02-26 11:35 <DIR> d-------- C:\Programme\Trend Micro
2008-02-26 10:24 . 2008-02-26 10:53 <DIR> d-------- C:\Programme\Free Spyware Scanner
2008-02-26 10:24 . 2004-02-01 22:54 569,368 --a------ C:\WINDOWS\system32\olelib.tlb
2008-02-26 10:24 . 2003-05-14 21:07 389,120 --a------ C:\WINDOWS\system32\actskn43.ocx
2008-02-26 10:24 . 1998-04-24 00:00 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2008-02-26 10:24 . 2003-01-26 15:48 147,456 --a------ C:\WINDOWS\system32\Vbzip11.dll
2008-02-26 10:24 . 1998-12-02 09:11 143,360 --a------ C:\WINDOWS\system32\vbuzip10.dll
2008-02-26 10:24 . 1999-04-17 23:36 10,752 --a------ C:\WINDOWS\system32\aamd532.dll
2008-02-26 10:04 . 2008-02-26 10:14 <DIR> d-------- C:\Programme\MalwareCore 7.4
2008-02-26 10:01 . 2008-02-26 10:06 <DIR> d-------- C:\Programme\AntiSpyKit 5.3
2008-02-26 09:44 . 2008-02-26 10:14 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-25 11:08 . 2008-02-25 11:08 <DIR> d-------- C:\WINDOWS\system32\dllcache.bak
2008-02-25 11:08 . 2008-02-25 11:08 <DIR> d-------- C:\Programme\OOD2KFRE
2008-02-25 11:08 . 2001-04-05 18:19 602,112 --a------ C:\WINDOWS\system32\OOD2KCRS.dll
2008-02-25 11:08 . 2001-04-06 13:57 238,080 --a------ C:\WINDOWS\system32\OOD2000.exe
2008-02-25 11:08 . 2001-04-05 17:21 29,272 --a------ C:\WINDOWS\system32\OOD2KBS.exe
2008-02-25 11:08 . 2000-11-09 19:31 24,576 --a------ C:\WINDOWS\system32\OODCSPRO.dll
2008-02-25 11:08 . 2000-11-01 14:06 16,384 --a------ C:\WINDOWS\system32\ood2kmsg.dll
2008-02-25 11:08 . 2008-02-25 11:08 7,952 --a------ C:\WINDOWS\system32\OODDRMBS.EXE
2008-02-20 12:53 . 2008-02-20 14:17 92 --a------ C:\WINDOWS\mp3wavcon.ini
2008-02-20 12:48 . 2008-02-20 14:15 <DIR> d-------- C:\My Music
2008-02-20 12:46 . 2008-02-20 12:46 <DIR> d-------- C:\Programme\AudioToolsFactory
2008-02-20 12:46 . 2003-12-08 12:19 425,984 --a------ C:\WINDOWS\system32\NCTAudioTransform2.dll
2008-02-20 12:46 . 2007-08-08 15:10 245,790 --a------ C:\WINDOWS\system32\strmdll.dll
2008-02-20 12:46 . 2008-02-20 14:17 5 --a------ C:\WINDOWS\system32\SySmp3con.dat
2008-02-20 12:41 . 2008-02-20 12:41 <DIR> d-------- C:\Programme\Videosoftware
2008-02-20 09:01 . 2008-02-20 09:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-02-12 21:02 . 2007-09-18 23:41 258,352 --a------ C:\WINDOWS\system32\unicows.dll
2008-02-03 14:46 . 2008-02-03 14:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-02-03 14:42 . 2005-08-11 15:29 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-01-31 03:02 . 2008-01-31 03:02 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-01-26 07:49 . 2008-01-26 07:50 <DIR> d-------- C:\Programme\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-26 11:11 --------- d-----w C:\Programme\Trillian
2008-02-26 10:17 --------- d-----w C:\Programme\FlashGet
2008-02-26 07:07 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\AVG7
2008-02-25 10:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-24 20:52 --------- d-s---w C:\Programme\HLSW
2008-02-20 07:57 --------- d-----w C:\Programme\ATI Technologies
2008-02-17 13:02 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\teamspeak2
2008-02-16 07:02 --------- d-----w C:\Programme\mIRC
2008-02-14 22:33 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\Xfire
2008-02-14 22:32 --------- d-----w C:\Programme\Xfire
2008-02-10 10:02 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\Hamachi
2008-02-07 07:51 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-02-05 10:57 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\AdobeUM
2008-02-03 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-28 21:46 --------- d-----w C:\Programme\WC3Banlist
2008-01-25 13:23 --------- d-----w C:\Programme\UltraEdit-32
2008-01-25 09:26 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\Ahead
2008-01-25 09:24 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\Nero
2008-01-25 07:30 --------- d-----w C:\Programme\WinPcap
2008-01-23 13:37 --------- d-----w C:\Programme\Hamachi
2008-01-22 21:38 2,845,696 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-01-22 20:44 368,640 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-01-22 20:43 272,384 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-01-22 20:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-01-22 20:36 9,949,184 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-01-22 20:35 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-01-22 20:35 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-01-22 20:35 147,456 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-01-22 20:35 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-01-22 20:35 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-01-22 20:34 512,000 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-01-22 20:33 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-01-22 20:25 3,121,920 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-01-22 20:14 1,664,256 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-01-22 20:04 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-01-22 20:01 385,024 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-01-22 19:59 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-01-22 19:58 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-01-22 19:58 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2008-01-22 19:57 163,840 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-01-22 19:53 503,808 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-01-22 13:42 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-01-22 13:42 --------- d-----w C:\Programme\TSO
2008-01-22 11:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-01-22 10:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-22 10:34 --------- d-----w C:\Programme\Bonjour
2008-01-22 10:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-01-21 15:06 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-01-15 13:59 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-01-15 12:28 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\dvdcss
2008-01-14 13:50 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\SecondLife
2008-01-11 16:50 --------- d-----w C:\Programme\PuTTY
2008-01-06 10:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-06 10:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-06 10:49 --------- d-----w C:\Programme\Lavasoft
2008-01-06 10:44 --------- d-----w C:\Programme\The Weather Channel FW
2008-01-04 18:25 --------- d-----w C:\Programme\AGEIA Technologies
2008-01-02 12:27 --------- d-----w C:\Programme\Flagship Studios
2007-12-27 23:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-12-27 23:16 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2007-12-27 14:39 --------- d-----w C:\Programme\ICQ6
2007-12-27 14:39 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\ICQ
2007-12-27 11:31 --------- d-----w C:\Dokumente und Einstellungen\nice\Anwendungsdaten\LimeWire
2007-12-27 11:30 --------- d-----w C:\Programme\LimeWire
2007-12-23 09:12 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-16 13:00 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-12-15 09:09 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-12-07 01:06 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 15:23 499,712 ------w C:\WINDOWS\system32\msvcp71.dll
2007-12-04 15:23 348,160 ------w C:\WINDOWS\system32\msvcr71.dll
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-01-06 05:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 13:32 94208]
"DW4"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 09:31 579072]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2003-12-24 14:44 2344160]
"C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Lexmark 3100 Series"="C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" [2003-09-04 03:43 106496]
"LXBRKsk"="C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe" [2003-06-13 15:57 282624]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 15:30 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30 81920]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"Spy Watcher"="C:\PROGRA~1\FREESP~1\SpyWatcher.exe" [2005-04-07 04:18 557056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-01-06 05:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-12-05 13:10 219136]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"D:\\Battlefield 2142\\BF2142.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:wc3tft
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;C:\WINDOWS\system32\Drivers\ousbehci.sys [2005-01-15 07:39]
R3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\system32\DRIVERS\ousb2hub.sys [2005-01-15 07:39]
S3 NTProcDrv;Process creation detector for NT.;D:\silroad+bot\Silkroad\NtProcDrv.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-26 12:22:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-26 12:22:42
ComboFix-quarantined-files.txt 2008-02-26 11:22:35
ComboFix2.txt 2008-02-26 10:30:59
.
2008-02-13 08:52:26 --- E O F ---









Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:36, on 26.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.routerlogin.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Spy Watcher] "C:\PROGRA~1\FREESP~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\poker\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7412 bytes
Seitenanfang Seitenende
26.02.2008, 12:36
Moderator

Beiträge: 7805
#4 Das sieht doch recht ordentlich aus.

Installiere dir bitte die wichtigen Updates die dir bei www.windowsupdate.com angeboten werden. wiederhole das so lange, bis dir keine wichtigen Updates mehr angeboten werden...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.02.2008, 12:37
...neu hier

Themenstarter

Beiträge: 4
#5 jup danke euch für eure schnell hilfe
Seitenanfang Seitenende
26.02.2008, 19:13
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “ RunMe .cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\ RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd

Benutze Malwarebytes Antimalware
http://virus-protect.org/artikel/tools/malwarebytes.html
Wenn etwas gefunden wird haacke es an und lass es entfernen
Kopiere den Report ab (rechte Maustaste - «kopieren« - im Sicherheitsforum - rechte Maustaste - «einfügen«
__________
MfG Argus
Seitenanfang Seitenende
26.02.2008, 23:53
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 gagoold

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

MalwareCore

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

AntiSpyKit

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

-----------------------------------------------------------------
danAch:
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\Programme\MalwareCore 7.4
C:\Programme\AntiSpyKit 5.3
Klicke auf den Roten MoveIt!

move

Wenn das Tool fertig ist wird ein Log erstellt (*******_******.log *steht für Datum und Zeit

In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
27.02.2008, 07:47
...neu hier

Themenstarter

Beiträge: 4
#8 eh ich glaube das hatt sich erledigt raman konnte mir schon helfen aber trotzdem danke mein rechner leuft wieder sauber
Seitenanfang Seitenende
27.02.2008, 08:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Eine frage,hast du diese Programme selber runter geladen?
Free Spyware Scanner,MalwareCore 7.4,AntiSpyKit 5.3
__________
MfG Argus
Seitenanfang Seitenende
27.02.2008, 15:17
...neu hier

Beiträge: 7
#10 hallo, ich habe dasselbe problem und habe versucht den weg mit smitfraudfix zu gehen, aber da kommt eine anzeige, dass der Befehl "SetPaths.bat" nicht gefunden konnte oder falsch geschrieben sei und dass ich mich an den administrator wenden sollte. gibt es eine andere möglichkeit den wurm zu entfernen bzw. wie kann ich den C-script fehler beheben? wäre schön ein wenig hilfe zu bekommen... bin ziemlich am schwitzen... besten dank enrico
Seitenanfang Seitenende
27.02.2008, 15:38
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 gagoold

solange wie auf dem Rechner ist:
C:\Programme\MalwareCore 7.4
C:\Programme\AntiSpyKit 5.3
- ist von "sauber" nicht die rede.
schau mal, ob die 2 Programme schon entfernt sind.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
27.02.2008, 15:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 michaux

wende bitte combofix an + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
27.02.2008, 17:09
...neu hier

Beiträge: 7
#13 hallo, danke für die antwort!

ComboFix 08-02-25.3 - Tom 2008-02-27 16:50:32.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Tom\Eigene Dateien\Henrik\Referendariat\Soziales Lernen und gewaltlose Kommunikation\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\UGA6PU_0001_N120M1202NetInstaller.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-27 bis 2008-02-27 ))))))))))))))))))))))))))))))
.

2008-02-27 14:33 . 2008-02-27 14:33 <DIR> d-------- C:\Programme\Simplyzip
2008-02-27 09:09 . 2008-02-27 09:09 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-27 09:09 . 2008-02-27 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-27 04:00 . 2008-02-27 04:00 <DIR> d-------- C:\Programme\Lavasoft
2008-02-27 04:00 . 2008-02-27 04:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-27 03:58 . 2008-02-27 03:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-27 02:07 . 2008-02-27 02:08 <DIR> d-------- C:\Programme\NetProject

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-27 02:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-27 02:46 --------- d-----w C:\Programme\Maxis
2008-02-26 21:28 --------- d-----w C:\Programme\lg_fwupdate
2008-02-22 08:59 --------- d-----w C:\Programme\Routenplaner Europa
2008-01-27 18:42 --------- d-----w C:\Programme\Opera
2008-01-27 18:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-01-27 18:40 --------- d-----w C:\Programme\Ahead
2008-01-08 16:12 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\AdobeUM
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2005-04-06 17:38 13,898,976 ----a-w C:\Programme\AdbeRdr70_deu.exe
2005-04-06 08:01 533,888 -c--a-w C:\Programme\ytb01_DLM_deu.exe
2005-04-05 20:34 2,325,814 -c--a-w C:\Programme\zip.exe
2005-03-05 14:36 17 -c--a-w C:\Programme\stinger.opt
2005-03-05 12:29 1,006,087 -c--a-w C:\Programme\stinger.exe
2004-12-21 09:45 24,320 ----a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-10-01 14:00 40,960 -c--a-w C:\Programme\Uninstall_CDS.exe
2002-08-29 01:43 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2002-08-29 01:43 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2001-09-01 16:29 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2001-09-01 16:30 10,240 -csha-w C:\WINDOWS\system32\regsvr32isw.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467}
{81705D67-3F73-4983-859B-97D0922E5ABE}

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"= C:\Programme\NetProject\wamdl.dll [2008-02-27 02:07 71168]

[HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 02:43 13312]
"PowerBar"="C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 10:26 86016]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 57344]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-12-14 13:52 98304]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881]
"AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [2004-10-07 14:04 364544]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2006-03-16 09:00 1397760]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2007-04-11 16:45 249856]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-10 19:22 249896]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]
Sitecom WLAN Client Utility.lnk - C:\Programme\Sitecom\Sitecom WLAN\WLANUTL.exe [2006-08-19 16:36:44 3690496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"= C:\Programme\NetProject\scit.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R3 STCWL;Sitecom 802.11g WL-140/141 Driver;C:\WINDOWS\System32\DRIVERS\wlanCIG.sys [2005-03-01 17:27]
S2 USBHSB;GeneLink File Transfer Driver;C:\WINDOWS\System32\Drivers\usbhsb.sys [2001-12-17 16:42]

*Newly Created Service* - AAWSERVICE
*Newly Created Service* - PCANDIS5
.
Inhalt des "geplante Tasks" Ordners
"2005-04-06 09:01:57 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1112778023.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2005-04-19 17:36:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1113931975.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2005-04-20 11:32:03 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1113933095.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2007-05-09 08:56:29 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1178700913.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2005-04-06 09:05:10 C:\WINDOWS\Tasks\WebReg 20050406110509.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe[/TaskName 20050406110509 /N
"2007-05-09 08:56:54 C:\WINDOWS\Tasks\WebReg 20070509105654.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe[/TaskName 20070509105654 /N
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 16:53:40
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-27 16:55:29
ComboFix-quarantined-files.txt 2008-02-27 15:55:17
Seitenanfang Seitenende
27.02.2008, 19:18
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK
Entferne auf C:\combofix.txt

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “ RunMe .cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\ RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

Erstellen eines Hijackthis-Logfiles
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
27.02.2008, 19:21
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 michaux

Information:

http://virus-protect.org/artikel/spyware/netproject.html

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"some"=-
"start"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8E718888-423F-11D2-876E-00A0C9082467}"=-
"{81705D67-3F73-4983-859B-97D0922E5ABE}"=-
[-HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{81705D67-3F73-4983-859B-97D0922E5ABE}"=-
[-HKEY_CLASSES_ROOT\clsid\{81705d67-3f73-4983-859b-97d0922e5abe}]

Folder::
C:\Programme\NetProject
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.



cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

PC neustarten


wende combofix wieder an + poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: