Home » Viren, Trojaner & Malware Forum » PrivacyProtection, Spyware&MalwareProtection, ErrorCleaner » Themenansicht

PrivacyProtection, Spyware&MalwareProtection, ErrorCleaner
#0
07.03.2008, 21:42
Reimut
Member

Beiträge: 13
#1 Hallo allerseits.

Ich habe seit vorgestern ähnliche Probleme wie Thadeuz sie in seinem Thema

Zitat

PrivacyProtection, Spyware&MalwareProtection, ErrorCleaner, Explorer infiziert?
beschreibt, nur das bei mir der Explorer bis jetzt keine Probleme aufzeigt. Auch ich bekomme diese merkwürdiegen Warnmeldungen

Zitat

"Windows has detected an Internet attack attempt... Somebody's trying... [blabla]"
(selbst als ich die Lan-Verbindung gekappt hatte ;) ) und auch ich habe, trotz mehrmaliegen Löschens, die Url-Verknüpfungen zu den Programm-Verkaufs-Seiten, der drei im titel genannten Programme. Ebenso ist es mir gelungen über die registry den Task-Manager wieder zu reaktivieren.

Ich habe beschlossen die Hilfen aus anderen Themen, wie dem oben angesproschenem, nicht zu verwenden, da ich nicht weiß inwiefern diese auf die individuellen "Infektionen" des jeweiligen Usercomputers zugeschnitten sind. Des weiteren wird ja wohl nicht ohne Grund bei den meisten der hier zur Anwendung kommenden Programme vom unüberlegten Anwenden stengstens abgeraten.
Daher hoffe ich hier mit eurer Hilfe auf die für mich passenden Lösungen zu kommen.

Ich danke euch schon einmal im Vorraus recht herzlich.

So, hier nun meine Logs:

1. ComboFix-Log

ComboFix 08-03-07.1 - Dr. Lausbub 2008-03-07 19:32:57.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.431 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dr. Lausbub\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Dr. Lausbub\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Dr. Lausbub\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Dr. Lausbub\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Dr. Lausbub\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Dr. Lausbub\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Dr. Lausbub\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\enlfxgw.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\nm


((((((((((((((((((((((( Dateien erstellt von 2008-02-07 bis 2008-03-07 ))))))))))))))))))))))))))))))
.

2008-03-07 19:30 . 2008-03-07 19:30 <DIR> d-------- C:\Logs
2008-03-07 16:42 . 2008-03-07 16:42 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-07 16:42 . 2008-03-07 16:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-06 21:29 . 2008-03-06 17:49 286,720 --a------ C:\WINDOWS\apdqnxp.dll
2008-03-06 21:29 . 2008-03-06 17:49 217,088 --a------ C:\WINDOWS\btrklfr.dll
2008-03-06 21:29 . 2008-03-06 17:49 81,920 --a------ C:\WINDOWS\fqspogw.exe
2008-03-05 09:48 . 2008-03-07 02:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-05 09:48 . 2008-03-05 09:48 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-28 11:05 . 2008-02-28 11:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NewSoft
2008-02-28 11:03 . 2008-02-28 11:03 <DIR> d-------- C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\InstallShield
2008-02-23 13:17 . 2008-02-23 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-02-23 10:22 . 2008-02-23 10:22 <DIR> d-------- C:\Programme\Yahoo!
2008-02-18 17:04 . 2008-02-18 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-02-12 14:47 . 2008-02-12 14:47 <DIR> d-------- C:\Programme\ATI
2008-02-12 14:46 . 2008-02-12 14:46 <DIR> d-------- C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\vlc
2008-02-12 08:31 . 2001-08-17 14:02 8,576 --a------ C:\WINDOWS\system32\drivers\hidgame.sys
2008-02-11 14:59 . 2008-02-11 14:57 681,980 --a------ C:\WINDOWS\unins000.exe
2008-02-11 14:59 . 2008-02-11 15:33 41,184 --a------ C:\WINDOWS\unins000.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 15:27 --------- d-----w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\OpenOffice.org2
2008-03-01 10:04 --------- d-----w C:\Programme\ICQ6
2008-02-28 17:24 --------- d-----w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\Skype
2008-02-28 10:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-28 10:04 14 ----a-w C:\WINDOWS\system32\drivers\S810
2008-02-26 19:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-16 16:18 --------- d-----w C:\Programme\Opera
2008-02-01 22:44 --------- d-----w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\dvdcss
2008-01-28 22:18 --------- d-----w C:\Programme\VIA Technologies, INC
2008-01-26 14:32 --------- d-----w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\CyberLink
2008-01-25 13:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-01-22 21:47 --------- d-----w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\ICQ
2008-01-20 10:42 --------- d-----w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\Winamp
2008-01-15 12:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WhiteCap (Holiday Edition)
2008-01-14 19:30 --------- d-----w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\Media Player Classic
2008-01-10 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Laconic Software
2008-01-10 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-01-09 21:23 --------- d-----w C:\Programme\Pidgin
2007-12-15 11:07 11,454 ----a-w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\wklnhst.dat
2007-10-31 14:59 38,432 ----a-w C:\Dokumente und Einstellungen\Dr. Lausbub\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-08-21 10:10 40,960 ----a-w C:\Programme\Uninstall_PCM.exe
.

------- Sigcheck -------

65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe
----a-w 14,336 2004-08-04 12:00:00 C:\WINDOWS\system32\svchost.exe
-c--a-w 14,336 2004-08-04 12:00:00 C:\WINDOWS\system32\dllcache\svchost.exe

492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\user32.dll
-c--a-w 578,560 2005-03-02 18:19:56 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
-c--a-w 579,584 2007-03-08 15:48:39 C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
-c----w 578,560 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallKB925902$\user32.dll
----a-w 579,072 2007-03-08 15:36:30 C:\WINDOWS\system32\user32.dll
-c--a-w 579,072 2007-03-08 15:36:30 C:\WINDOWS\system32\dllcache\user32.dll

d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll
----a-w 82,944 2004-08-04 12:00:00 C:\WINDOWS\system32\ws2_32.dll
-c--a-w 82,944 2004-08-04 12:00:00 C:\WINDOWS\system32\dllcache\ws2_32.dll

909bf1b68760bb4e7d7b9c0b5083a956 C:\WINDOWS\system32\wininet.dll
-c--a-w 666,112 2005-09-02 23:53:55 C:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll
-c--a-w 670,720 2007-01-04 14:02:18 C:\WINDOWS\$hf_mig$\KB928090\SP2QFE\wininet.dll
-c--a-w 671,232 2007-02-19 15:22:00 C:\WINDOWS\$hf_mig$\KB931768\SP2QFE\wininet.dll
-c--a-w 671,232 2007-04-18 12:44:36 C:\WINDOWS\$hf_mig$\KB933566\SP2QFE\wininet.dll
-c--a-w 823,808 2007-04-25 08:26:47 C:\WINDOWS\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll
-c--a-w 824,320 2007-06-27 14:12:37 C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
-c--a-w 825,344 2007-08-20 09:48:08 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
----a-w 825,344 2007-10-10 23:20:42 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
----a-w 825,344 2007-12-07 01:41:49 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
-c----w 662,016 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallKB896688$\wininet.dll
-c----w 664,064 2005-09-02 23:53:22 C:\WINDOWS\$NtUninstallKB928090$\wininet.dll
-c----w 664,576 2007-01-04 13:41:13 C:\WINDOWS\$NtUninstallKB931768$\wininet.dll
-c----w 664,576 2007-02-19 15:03:35 C:\WINDOWS\$NtUninstallKB933566$\wininet.dll
-c----w 664,576 2007-04-18 12:31:17 C:\WINDOWS\ie7\wininet.dll
-c----w 818,688 2006-11-07 19:03:36 C:\WINDOWS\ie7updates\KB933566-IE7\wininet.dll
-c----w 924,160 2007-04-25 07:42:19 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll
-c----w 823,808 2007-06-27 14:05:57 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
-c----w 815,616 2007-08-20 09:55:34 C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
-c----w 824,832 2007-10-10 23:46:52 C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
----a-w 815,616 2007-12-07 02:04:49 C:\WINDOWS\system32\wininet.dll
-c--a-w 815,616 2007-12-07 02:04:49 C:\WINDOWS\system32\dllcache\wininet.dll

90caff4b094573449a0872a0f919b178 C:\WINDOWS\system32\drivers\tcpip.sys
-c--a-w 360,576 2006-04-20 12:18:35 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
----a-w 360,832 2007-10-30 16:53:32 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
-c----w 359,040 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
-c----w 359,808 2006-04-20 11:51:50 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
-c--a-w 360,064 2007-10-30 17:20:55 C:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 360,064 2007-10-30 17:20:55 C:\WINDOWS\system32\drivers\tcpip.sys

2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe
----a-w 507,392 2004-08-04 12:00:00 C:\WINDOWS\system32\winlogon.exe
-c--a-w 507,392 2004-08-04 12:00:00 C:\WINDOWS\system32\dllcache\winlogon.exe

558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys
-c--a-w 182,912 2004-08-04 12:00:00 C:\WINDOWS\system32\dllcache\ndis.sys
----a-w 182,912 2004-08-04 12:00:00 C:\WINDOWS\system32\drivers\ndis.sys

4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys
-c--a-w 29,056 2004-08-04 12:00:00 C:\WINDOWS\system32\dllcache\ip6fw.sys
-c--a-w 29,056 2004-08-04 12:00:00 C:\WINDOWS\system32\drivers\ip6fw.sys

9dc58c5bdedccb8298c8a2d6d4996ec4 C:\WINDOWS\system32\ntkrnlpa.exe
-c--a-w 2,059,264 2005-03-02 18:11:31 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
-c--a-w 2,061,568 2006-10-30 04:00:48 C:\WINDOWS\$hf_mig$\KB896256\SP2QFE\ntkrnlpa.exe
-c--a-w 2,061,696 2006-12-19 18:43:40 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe
-c--a-w 2,061,696 2007-02-28 16:06:12 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
-c----w 2,017,792 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallKB929338$\ntkrnlpa.exe
-c----w 2,018,304 2006-12-19 18:21:21 C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
-c----w 2,059,904 2007-02-28 16:02:21 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
----a-w 2,018,304 2007-02-28 16:02:05 C:\WINDOWS\system32\ntkrnlpa.exe
-c--a-w 2,018,304 2007-02-28 16:02:05 C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

495d541a116e7f1b79ed9bd588f54a71 C:\WINDOWS\system32\ntoskrnl.exe
-c--a-w 2,181,888 2005-03-02 18:11:53 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
-c--a-w 2,184,320 2006-10-30 14:01:13 C:\WINDOWS\$hf_mig$\KB896256\SP2QFE\ntoskrnl.exe
-c--a-w 2,184,320 2006-12-19 18:43:37 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe
-c--a-w 2,184,448 2007-02-28 16:06:10 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
-c----w 2,150,912 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe
-c----w 2,138,624 2006-12-19 18:21:22 C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
-c----w 2,182,656 2007-02-28 16:02:21 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
----a-w 2,138,624 2007-02-28 16:02:08 C:\WINDOWS\system32\ntoskrnl.exe
-c--a-w 2,138,624 2007-02-28 16:02:08 C:\WINDOWS\system32\dllcache\ntoskrnl.exe

01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
----a-w 978,944 2007-06-13 13:21:45 C:\WINDOWS\explorer.exe
----a-w 1,036,288 2007-06-13 13:10:08 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
-c----w 1,553,920 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
-c--a-w 978,944 2007-06-13 13:21:45 C:\WINDOWS\system32\dllcache\explorer.exe
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" [2006-05-21 08:43 180224]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 13:34 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-20 16:55 185896]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"Presto! PVR Monitor"="D:\Programme\NewSoft\Presto! PVR\Monitor.exe" [2007-05-29 16:57 143360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"btrklfr"= {FCD93C3E-EF02-4481-963A-DDBF7CF9B231} - C:\WINDOWS\btrklfr.dll [2008-03-06 17:49 217088]
"apdqnxp"= {5CB59A3D-3ADE-40A8-8169-11344D45DE60} - C:\WINDOWS\apdqnxp.dll [2008-03-06 17:49 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dr. Lausbub^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\Dr. Lausbub\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dr. Lausbub^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
path=C:\Dokumente und Einstellungen\Dr. Lausbub\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
D:\Treiber-Programminstaller\Bit torrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ChangeFilterMerit]
--a------ 2006-12-27 11:16 45056 D:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
--a------ 2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
C:\Programme\Free Download Manager\fdm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Presto! PVR Monitor]
--a------ 2007-05-29 16:57 143360 D:\Programme\NewSoft\Presto! PVR\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 00:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tmywov]
C:\WINDOWS\system32\tmywov.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tvxavcgzyfmx]
C:\WINDOWS\system32\tvxavcgzyfmx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TapiSrv"=3 (0x3)
"BITS"=2 (0x2)
"Alerter"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Spiele\\Warcraft III\\Frozen Throne.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"D:\\Spiele\\Counter Strike - Source\\hl2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Treiber-Programminstaller\\Azureus\\Azureus.exe"=
"D:\\Spiele\\Flatout 2\\FlatOut2.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"D:\\Spiele\\Warcraft III\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Blizzard

R2 SQLWriter;SQL Server VSS Writer;"C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 04:29]
S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 14:05]
S2 e9gleyquor1;Print Spooler Service;C:\WINDOWS\system32\tvxavcgzyfmx.exe []
S3 mod7700;DiBcom DIB7700 based TV tuner device;C:\WINDOWS\system32\Drivers\dvb7700all.sys [2007-07-02 11:00]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 14:05]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-07 19:38:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
-> C:\WINDOWS\btrklfr.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\DitExp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-07 19:41:26 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-07 18:41:23
.
2008-02-13 21:27:15 --- E O F ---

2. HijackThis-Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:34:53, on 07.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Dit.exe
D:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dr. Lausbub\Desktop\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] D:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Analoguhr.lnk = C:\Dokumente und Einstellungen\Dr. Lausbub\Lokale Einstellungen\Temp\Rar$EX01.328\CLOCK.EXE
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lausbub1990.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190544781390
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: btrklfr - {FCD93C3E-EF02-4481-963A-DDBF7CF9B231} - C:\WINDOWS\btrklfr.dll
O21 - SSODL: apdqnxp - {5CB59A3D-3ADE-40A8-8169-11344D45DE60} - C:\WINDOWS\apdqnxp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Print Spooler Service (e9gleyquor1) - Unknown owner - C:\WINDOWS\system32\tvxavcgzyfmx.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 8413 bytes

3. datfind.bat-Log

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A00F-C535

Verzeichnis von C:\WINDOWS\system32

07.03.2008 19:38 13.646 wpa.dbl
25.01.2008 13:34 98.304 CmdLineExt.dll
19.01.2008 14:27 5.242.934 toyhide.bmp
16.01.2008 20:31 0 FOXUSER.FPT
16.01.2008 20:31 0 FOXUSER.DBF
11.01.2008 06:32 44.544 pngfilt.dll
09.01.2008 22:21 86.046 perfc009.dat
09.01.2008 22:21 482.468 perfh009.dat
09.01.2008 22:21 98.922 perfc007.dat
09.01.2008 22:21 499.136 perfh007.dat
09.01.2008 22:21 1.137.066 PerfStringBackup.INI
31.12.2007 12:22 1.594.192 FNTCACHE.DAT
19.12.2007 23:48 347.136 dxtmsft.dll
12.12.2007 16:26 387.188 TZLog.log
08.12.2007 06:04 3.865.088 mshtml.dll
07.12.2007 03:04 671.232 mstime.dll
07.12.2007 03:04 164.352 occache.dll
07.12.2007 03:04 815.616 wininet.dll
07.12.2007 03:04 394.240 webcheck.dll
07.12.2007 03:04 62.464 url.dll
07.12.2007 03:04 1.233.408 urlmon.dll
07.12.2007 03:04 193.024 msrating.dll
07.12.2007 03:04 478.208 mshtmled.dll
07.12.2007 03:04 52.224 msfeedsbs.dll
07.12.2007 03:04 1.799.680 inetcpl.cpl
07.12.2007 03:04 27.648 jsproxy.dll
07.12.2007 03:04 459.264 msfeeds.dll
07.12.2007 03:04 44.544 iernonce.dll
07.12.2007 03:04 267.776 iertutil.dll
07.12.2007 03:04 6.066.176 ieframe.dll
07.12.2007 03:04 384.512 iedkcs32.dll
07.12.2007 03:04 63.488 icardie.dll
07.12.2007 03:04 124.928 advpack.dll
07.12.2007 03:04 153.088 ieakeng.dll
07.12.2007 03:04 383.488 ieapfltr.dll
07.12.2007 03:04 133.120 extmgr.dll
07.12.2007 03:04 214.528 dxtrans.dll
07.12.2007 03:04 230.400 ieaksie.dll
06.12.2007 12:00 13.824 ieudinit.exe
06.12.2007 12:00 70.656 ie4uinit.exe
06.12.2007 05:59 161.792 ieakui.dll
04.12.2007 19:40 550.912 oleaut32.dll
02.12.2007 15:00 18.684.536 MRT.exe
2173 Datei(en) 530.286.243 Bytes
0 Verzeichnis(se), 2.912.141.312 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A00F-C535

Verzeichnis von C:\DOKUME~1\DR82FE~1.LAU\LOKALE~1\Temp

07.03.2008 21:37 106.726 datfind.txt
1 Datei(en) 106.726 Bytes
0 Verzeichnis(se), 2.912.161.792 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A00F-C535

Verzeichnis von C:\WINDOWS

07.03.2008 21:33 754 WORDPAD.INI
07.03.2008 19:38 227 system.ini
07.03.2008 19:37 159 wiadebug.log
07.03.2008 19:37 1.893.738 WindowsUpdate.log
07.03.2008 19:37 50 wiaservc.log
07.03.2008 19:36 2.048 bootstat.dat
07.03.2008 19:35 32.634 SchedLgU.Txt
07.03.2008 17:32 788 win.ini
07.03.2008 02:32 54.156 QTFont.qfn
06.03.2008 17:49 81.920 fqspogw.exe
06.03.2008 17:49 286.720 apdqnxp.dll
06.03.2008 17:49 217.088 btrklfr.dll
05.03.2008 09:48 1.409 QTFont.for
14.02.2008 14:57 12.862 EPISMG00.SWB
11.02.2008 15:33 41.184 unins000.dat
11.02.2008 14:57 681.980 unins000.exe
08.02.2008 13:04 94.330 War3Unin.dat
25.01.2008 14:09 72 S2AFE9EF3.tmp
15.12.2007 13:15 37 cdplayer.ini
10.12.2007 15:26 32 CD-Start.INI
10.12.2007 15:22 17 Missing.ini
04.12.2007 14:15 57 vb.ini
04.12.2007 14:13 37 vbaddin.ini
95 Datei(en) 15.362.121 Bytes
0 Verzeichnis(se), 2.912.157.696 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A00F-C535

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A00F-C535

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.10.2007 21:40 2.305 kavwebscan.inf
30.07.2007 18:24 293 wuweb.inf
09.06.2007 18:42 65 desktop.ini
22.02.2007 23:41 304.544 MessengerStatsPAClient.dll
09.01.2007 07:30 110.592 PURde-de.dll
20.06.2006 14:44 379.704 MsnPUpld.dll
20.06.2006 14:44 117.560 PURen-us.dll
19.06.2006 13:40 393 MsnPUpld.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
9 Datei(en) 916.618 Bytes
0 Verzeichnis(se), 2.912.157.696 Bytes frei
.
.
.


MfG Reimut
Seitenanfang Seitenende
07.03.2008, 22:50
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O21 - SSODL: btrklfr - {FCD93C3E-EF02-4481-963A-DDBF7CF9B231} - C:\WINDOWS\btrklfr.dll
O21 - SSODL: apdqnxp - {5CB59A3D-3ADE-40A8-8169-11344D45DE60} - C:\WINDOWS\apdqnxp.dll
O23 - Service: Print Spooler Service (e9gleyquor1) - Unknown owner - C:\WINDOWS\system32\tvxavcgzyfmx.exe (file missing)
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

RVAXO
http://www.virus-protect.org/artikel/tools/rvaxo.html
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “ RunMe.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\ RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd
__________
MfG Argus
Seitenanfang Seitenende
07.03.2008, 23:38
Reimut
Member

Themenstarter

Beiträge: 13
#3 Habe alles so gemacht.

Hier der Log:

---RVAXO.exe Updated: 2008-03-07---first run---
Uninstallers:

Files found:
C:\WINDOWS\btrklfr.dll
C:\WINDOWS\fqspogw.exe
C:\WINDOWS\system32\vbzip11.dll
C:\WINDOWS\apdqnxp.dll

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------
Seitenanfang Seitenende
07.03.2008, 23:56
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Hallo,

»»
scanne mit ewido + poste hier den scanreport
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.03.2008, 00:18
Reimut
Member

Themenstarter

Beiträge: 13
#5 @ Pinguin

Die von dir genannten Punkte erscheinen bei HijackThis nicht mehr im Scan!
Hatte sie ja auch nach Arnolds anweisung schon gefixed.

Ich werde aber dennoch mit ewido scannen und den Bericht hier posten.
Seitenanfang Seitenende
08.03.2008, 02:03
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Malwarebytes Anti-Malware
http://www.virus-protect.org/artikel/tools/malwarebytes.html
Download MBAM zum Desktop
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”>Schnell Scan durchfuehren
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klick OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
__________
MfG Argus
Seitenanfang Seitenende
08.03.2008, 02:51
Reimut
Member

Themenstarter

Beiträge: 13
#7 Ich hab ewido jetzt mal durchlaufen lassen, der gibt mir folgendes raus:

Name: Not-A-Virus.RemoteAdmin.Win32.NetCat
Path: D:\Eigene Dateien\Downloads\Cryptload\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe
Risk: Low

Name: Not-A-Virus.RemoteAdmin.Win32.NetCat
Path: D:\Eigene Dateien\Downloads\Cryptload\CryptLoad_1.0.4.rar/CryptLoad_1.0.4\router\FRITZ!Box\nc.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.Keylogger.a
Path: D:\Treiber-Programminstaller\mov converter\Download_movconverter-trial.exe
Risk: Low

Die Dateien hab ich inzwischen entfernt (Ewido removed und Cryptload Ordner und rar gelöscht bzw. mov converter gelöscht).

Edit:

So, MBAM ist jetzt auch durch, hat nix gefunden!

Hier der Report:

Malwarebytes' Anti-Malware 1.07
Datenbank Version: 467

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 163212
Scan Dauer: 33 minute(s), 30 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


PS:

Die Warnmeldungen und die Url-Verknüpfungen sind bis jetzt nicht wieder aufgetaucht.
Dieser Beitrag wurde am 08.03.2008 um 08:01 Uhr von Reimut editiert.
Seitenanfang Seitenende
08.03.2008, 09:29
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Doch gut das es RVAXO gibt ;)

Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

__________
MfG Argus
Seitenanfang Seitenende
08.03.2008, 10:02
Reimut
Member

Themenstarter

Beiträge: 13
#9 Gemacht!

Ich danke euch noch einmal recht herzlich! Werde ich nocheinmal solche Probleme haben, weiß ich ja wo ich mich melden muss.

PS: Werde natürlich versuchen dass es auch weiterhin nicht zu solchen lommt.

MfG Reimut

Edit:

Ich hatte wie bei ComboFix empfohlen die Windows XP Wiederherstellungskonsole installiert. Ist diese jetzt wieder weg? Und wenn nicht, sollte ich diese enfernen? Wenn ja wie?

und was ist mit dem deinstalieren der verwendeen Progs? mbam, datFind und HiJackThis sind noch vorhanden.
Dieser Beitrag wurde am 08.03.2008 um 10:13 Uhr von Reimut editiert.
Seitenanfang Seitenende
08.03.2008, 10:28
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Die Wiederherstellungskonsole darfst du behalten
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Wenn du willst mbam und HJ behalten
__________
MfG Argus
Seitenanfang Seitenende
08.03.2008, 10:51
Reimut
Member

Themenstarter

Beiträge: 13
#11 Ok, werde HJT und mbam behalten.

Danke nochmal, ging ja wirklich schnell hier mit Lösen.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1