Home » Viren, Trojaner & Malware Forum » Win32.NetSky! Was soll ich tun? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Win32.NetSky! Was soll ich tun?

08.03.2008, 21:22

humid

...neu hier

Beiträge: 4

#1 Hi

Ich glaube ich habe mir nen Virus oder Wurm eingefangen (Win32.NetSky). Ich habe schon tools wie Spybot und adware probiert hat nix geholfen. Möchte ungern format c machen.
Der Virus/Wurm öffnet n fenster und sagt mir es gäbe eine sicherheitsbedrohung und ich solle mir ein programm runterladen
Kann mir jemand helfen?

08.03.2008, 21:26

Gastaccount

Passwort: gast

Beiträge: 0

#2 Bitte einmal das abarbeiten http://siri.geekstogo.com/SmitfraudFix_De.php

und dann das: http://board.protecus.de/t23187.htm

Danach bitte die entsprechenden Reporte posten

08.03.2008, 21:52

humid

...neu hier

Themenstarter

Beiträge: 4

#3 hier die logfile von combofix

Zitat

ComboFix 08-03-07.4 - Lenni 2008-03-08 21:42:38.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Lenni\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Lenni\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Lenni\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Lenni\Favoriten\Spyware&Malware Protection.url

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-08 bis 2008-03-08 ))))))))))))))))))))))))))))))
.

2008-03-08 21:35 . 2008-03-08 21:35 1,498 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-08 21:34 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-08 21:34 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-08 21:34 . 2008-03-01 23:12 86,016 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-08 21:34 . 2008-03-05 22:29 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-08 21:34 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-08 21:34 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-08 21:02 . 2008-03-08 21:02 <DIR> d-------- C:\Programme\Lavasoft
2008-03-08 20:38 . 2008-03-08 20:38 <DIR> d-------- C:\WINDOWS\kdefense
2008-03-08 20:38 . 2008-03-08 20:38 846,336 --a------ C:\WINDOWS\system32\kdfinj.dll
2008-03-08 20:38 . 2008-03-08 21:24 722,472 --a------ C:\WINDOWS\system32\kdfmgr.exe
2008-03-08 20:38 . 2008-03-08 21:24 192,512 --a------ C:\WINDOWS\system32\kdfvmgr.exe
2008-03-08 20:38 . 2008-03-08 21:24 77,824 --a------ C:\WINDOWS\system32\kdfapi.dll
2008-03-08 20:38 . 2008-03-08 21:24 53,248 --a------ C:\WINDOWS\system32\Kdfhok.dll
2008-03-08 20:23 . 2008-03-08 20:23 <DIR> d-------- C:\WINDOWS\LocalSSL
2008-03-08 20:23 . 2007-11-06 06:15 138,512 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-03-08 20:23 . 2007-11-06 06:15 52,496 --a------ C:\WINDOWS\system32\drivers\tmactmon.sys
2008-03-08 20:23 . 2007-11-06 06:15 52,368 --a------ C:\WINDOWS\system32\drivers\tmevtmgr.sys
2008-03-08 20:22 . 2008-03-08 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-03-08 20:20 . 2008-03-08 20:23 <DIR> d-------- C:\Programme\Trend Micro
2008-03-07 17:43 . 2008-03-07 16:35 311,296 --a------ C:\WINDOWS\apdqnxp.dll
2008-03-07 17:43 . 2008-03-07 16:35 266,240 --a------ C:\WINDOWS\btrklfr.dll
2008-03-07 17:43 . 2008-03-07 16:35 81,920 --a------ C:\WINDOWS\fqspogw.exe
2008-03-07 17:17 . 2008-03-07 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-02-29 19:39 . 2008-02-18 04:32 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-26 20:26 . 2008-03-02 14:38 <DIR> d-------- C:\Programme\ScummVM
2008-02-23 15:05 . 2008-03-07 13:11 <DIR> d-------- C:\Programme\GothicTextEditor
2008-02-22 15:26 . 2008-02-22 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\ScummVM
2008-02-21 02:57 . 2008-02-21 02:57 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-02-19 16:03 . 2008-03-07 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Hamachi
2008-02-19 16:03 . 2008-02-22 15:14 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-02-19 15:02 . 2008-02-19 15:02 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Ahead
2008-02-18 21:26 . 2008-02-29 19:39 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-18 17:54 . 2008-02-18 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\dvdcss
2008-02-17 13:26 . 2003-07-20 19:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2008-02-17 13:26 . 2005-01-04 10:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2008-02-17 13:25 . 2008-02-17 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS
2008-02-16 23:18 . 2008-02-16 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\vlc
2008-02-15 23:46 . 2004-08-03 22:59 34,688 --a------ C:\WINDOWS\system32\drivers\lbrtfdc.sys
2008-02-15 23:46 . 2004-08-03 22:59 34,688 --a--c--- C:\WINDOWS\system32\dllcache\lbrtfdc.sys
2008-02-15 23:46 . 2004-08-04 00:44 5,504 --a------ C:\WINDOWS\system32\drivers\intelide.sys
2008-02-15 23:46 . 2004-08-04 00:44 5,504 --a--c--- C:\WINDOWS\system32\dllcache\intelide.sys
2008-02-15 23:46 . 2004-08-03 22:59 5,376 --a------ C:\WINDOWS\system32\drivers\viaide.sys
2008-02-15 23:46 . 2004-08-03 22:59 5,376 --a--c--- C:\WINDOWS\system32\dllcache\viaide.sys
2008-02-15 23:45 . 2008-03-07 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\PrevxCSI
2008-02-15 15:05 . 2008-02-15 15:05 <DIR> d-------- C:\Programme\MSXML 6.0
2008-02-15 15:05 . 2008-02-15 15:05 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-12 15:32 . 2008-03-07 23:51 <DIR> d-------- C:\Programme\Spyware Terminator
2008-02-12 15:32 . 2008-03-07 23:27 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator
2008-02-12 15:32 . 2008-03-07 23:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-02-12 15:32 . 2008-02-12 15:32 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-02-10 12:03 . 2008-03-03 17:03 <DIR> d-------- C:\Programme\Notepad++
2008-02-10 12:03 . 2008-03-03 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Notepad++

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-08 20:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-08 19:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-07 22:27 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Xfire
2008-03-06 17:58 --------- d-----w C:\Programme\xp-AntiSpy
2008-03-06 14:47 --------- d-----w C:\Programme\Xfire
2008-03-05 19:27 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spamihilator
2008-03-05 19:18 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-03-04 12:11 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-03-03 18:21 --------- d-----w C:\Programme\ICQLite
2008-02-27 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-23 20:21 1,409 ----a-w C:\WINDOWS\Fonts\courchess.fot
2008-02-22 17:12 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2008-02-22 16:10 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-02-16 22:12 --------- d-----w C:\Programme\VideoLAN
2008-02-10 15:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-03 09:30 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-01-31 17:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POP3Profiles
2008-01-31 17:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-30 10:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-13 18:29 --------- d-----w C:\Programme\directx
2008-01-13 18:28 --------- d-----w C:\Programme\Rockstar Games
2008-01-06 11:11 679,936 ----a-w C:\WINDOWS\system32\spsplib1.dll
2008-01-05 14:17 413,696 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-01-05 14:17 110,592 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-12-22 20:21 0 ----a-r C:\logwmemory.bin
2007-12-21 14:27 289,280 ----a-w C:\WINDOWS\system32\objsel.dll
2007-12-06 14:17 22,328 ----a-w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\PnkBstrK.sys
2007-11-02 14:31 14 ----a-w C:\Dokumente und Einstellungen\Lenni\getfile.dat
2007-08-25 20:12 96,374 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-08-30 18:55 23 --sha-w C:\WINDOWS\system32\aeacfafdfbbe_g.dll
.

------- Sigcheck -------

64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\system32\drivers\tcpip.sys
----a-w 360,576 2006-06-13 19:32:57 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
-c----w 359,808 2006-06-13 19:32:57 C:\WINDOWS\$NtUninstallPRESP3$\tcpip.sys
-c--a-w 360,832 2007-10-30 16:53:32 C:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 360,832 2007-10-30 16:53:32 C:\WINDOWS\system32\drivers\tcpip.sys

fdd544cd9a10443a242c2ce7489693e9 C:\WINDOWS\system32\winlogon.exe
-c----w 507,392 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallPRESP3$\winlogon.exe
----a-w 512,512 2007-06-04 12:38:50 C:\WINDOWS\system32\winlogon.exe
-c--a-w 512,512 2007-06-04 12:38:50 C:\WINDOWS\system32\dllcache\winlogon.exe

bc84c4f67d0e880b0c46dc0ce2b8cbaa C:\WINDOWS\system32\drivers\ndis.sys
-c----w 182,912 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallPRESP3$\ndis.sys
-c--a-w 182,656 2006-05-02 10:55:10 C:\WINDOWS\system32\dllcache\ndis.sys
----a-w 182,656 2006-05-02 10:55:10 C:\WINDOWS\system32\drivers\ndis.sys

6ad938f00c02111a70a832080c9a2614 C:\WINDOWS\system32\ntkrnlpa.exe
----a-w 2,059,264 2005-03-02 09:11:32 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
-c----w 2,019,840 2007-02-28 16:06:01 C:\WINDOWS\$NtUninstallPRESP3$\ntkrnlpa.exe
------w 2,064,640 2007-07-19 14:20:30 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
----a-w 2,023,424 2007-07-19 14:20:18 C:\WINDOWS\system32\ntkrnlpa.exe
-c--a-w 2,064,640 2007-07-19 14:20:30 C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

f54af55d175bf7406ab634d2fbf19cc9 C:\WINDOWS\system32\ntoskrnl.exe
----a-w 2,181,888 2005-03-02 18:11:53 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
-c----w 2,140,160 2007-02-28 16:06:02 C:\WINDOWS\$NtUninstallPRESP3$\ntoskrnl.exe
----a-w 2,187,776 2007-07-19 14:20:26 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
----a-w 2,143,744 2007-07-19 14:20:20 C:\WINDOWS\system32\ntoskrnl.exe
-c--a-w 2,187,776 2007-07-19 14:20:26 C:\WINDOWS\system32\dllcache\ntoskrnl.exe

331ed93570baf3cfe30340298762cd56 C:\WINDOWS\explorer.exe
----a-w 1,036,288 2007-06-13 13:10:08 C:\WINDOWS\explorer.exe
-c----w 1,035,264 2005-04-07 18:46:59 C:\WINDOWS\$NtUninstallPRESP3$\explorer.exe
-c--a-w 1,036,288 2007-06-13 13:10:08 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6BF442E4-D165-46BD-B4B9-D6A69F1C20BA}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E7620C98-FCCC-40E5-92EC-C7685D2E1E40}"= "C:\Programme\Trend Micro\TrendSecure\TransactionProtector\TSToolbar.dll" [2007-10-31 12:48 103760]

[HKEY_CLASSES_ROOT\clsid\{e7620c98-fccc-40e5-92ec-c7685d2e1e40}]
[HKEY_CLASSES_ROOT\TSToolbar.TSProtectorBar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EC525605-2266-4775-8F78-A68A6446465C}]
[HKEY_CLASSES_ROOT\TSToolbar.TSProtectorBar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 15:49 77824]
"AtiPTA"="atiptaxx.exe" [2006-02-22 02:05 344064 C:\WINDOWS\system32\atiptaxx.exe]
"UfSeAgnt.exe"="C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe" [2007-11-06 06:11 1393928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Gigaset WLAN Adapter Monitor.lnk - C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe [2007-08-22 11:28:42 36864]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWinKeys"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"btrklfr"= {7CBD181F-011F-45A5-B488-2ED769537F27} - C:\WINDOWS\btrklfr.dll [2008-03-07 16:35 266240]
"apdqnxp"= {3F79FEFA-A969-4218-B5EA-B79B31D2DF3B} - C:\WINDOWS\apdqnxp.dll [2008-03-07 16:35 311296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiTrayTools]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-10-23 19:51 233472 C:\Programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-06-25 11:24 49152 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2003-11-08 02:01 188416 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateStar]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindServiceAE"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"PnkBstrA"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\Spamihilator\\dccproc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=
"Z:\\Gothic II\\_work\\tools\\zSpy\\zSpy.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"Z:\\Die Schlacht um Mittelerde II\\game.dat"=
"Z:\\Aufstieg des Hexenkönigs\\game.dat"=
"Z:\\Die Schlacht um Mittelerde(tm)\\game.dat"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 SSHDRV84;SSHDRV84;C:\WINDOWS\system32\drivers\SSHDRV84.sys [2007-10-29 16:35]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 AR5523;Gigaset USB Adapter 108;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2005-07-27 20:11]
R3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\CBTNDIS5.SYS [2003-07-16 21:28]
R3 OdysseyIM4;Odyssey Network Agent Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2004-09-24 22:36]
S1 DumpDrv;Crash Dump Driver;C:\WINDOWS\system32\drivers\DumpDrv.sys [2006-04-14 01:17]
S3 krdpdre;krdpdre;C:\DOKUME~1\Lenni\LOKALE~1\Temp\krdpdre.sys [2004-02-09 08:46]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
Stop Pending3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-29 19:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - NEOKDSS
*Newly Created Service* - TMCOMM
.
Inhalt des "geplante Tasks" Ordners
"2008-03-08 20:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-08 21:43:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\WINDOWS\btrklfr.dll
.
Zeit der Fertigstellung: 2008-03-08 21:43:34
ComboFix-quarantined-files.txt 2008-03-08 20:43:33
.
2007-12-12 15:49:06 --- E O F ---

hier die von smitfraud

Zitat

SmitFraudFix v2.300

Scan done at 21:35:08,85, 08.03.2008
Run from C:\Dokumente und Einstellungen\Lenni\desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lenni

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Lenni\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: btrklfr.dll
SSODL: btrklfr - {7CBD181F-011F-45A5-B488-2ED769537F27}

[!] Suspicious: apdqnxp.dll
SSODL: apdqnxp - {3F79FEFA-A969-4218-B5EA-B79B31D2DF3B}

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

und hier hijackthis

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:53, on 08.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\OdHost.exe
C:\Programme\Trend Micro\TrendSecure\TSCFCommander.exe
C:\Programme\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe
C:\Programme\Trend Micro\TrendSecure\TransactionProtector\Dependent\HSChkProxyExe.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Notepad++\notepad++.exe
C:\Dokumente und Einstellungen\Lenni\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RDL Rolex - {6BF442E4-D165-46BD-B4B9-D6A69F1C20BA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: TweakMASTER Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\Programme\TweakMASTER\TweakBHO.dll
O2 - BHO: TransactionProtector BHO - {C1656CCA-D2EA-4A32-94AE-AE0B180E6449} - C:\Programme\Trend Micro\TrendSecure\TransactionProtector\TSToolbar.dll
O3 - Toolbar: (no name) - {A133882E-2F89-47A3-A01C-8FA1D04B8E57} - (no file)
O3 - Toolbar: Transaction Protector - {E7620C98-FCCC-40E5-92EC-C7685D2E1E40} - C:\Programme\Trend Micro\TrendSecure\TransactionProtector\TSToolbar.dll
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: http://onecare.live.com
O15 - Trusted Zone: http://www.merrychristmas.xtreemhost.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189162232781
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O21 - SSODL: btrklfr - {7CBD181F-011F-45A5-B488-2ED769537F27} - C:\WINDOWS\btrklfr.dll
O21 - SSODL: apdqnxp - {3F79FEFA-A969-4218-B5EA-B79B31D2DF3B} - C:\WINDOWS\apdqnxp.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Trend Micro Zentrale Steuerkomponente (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7034 bytes

hier die uninstall list

Zitat

2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
Ad-Aware SE Personal
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
AMD Processor Driver
Apple Software Update
ATI Display Driver (Omega 3.8.442)
Aufstieg des Hexenkönigs™
Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch
CCleaner (remove only)
CDDRV_Installer
Chessgate Client
Chicken Invaders v1.30
Die Schlacht um Mittelerde(tm)
Die Schlacht um Mittelerde™ II
Dual-Core Optimizer
Elvenstar Mod
EVEREST Ultimate Edition v4.20
Free YouTube to Mp3 Converter version 2.4
GEAR 32bit Driver Installer
Gehirnjogging 3
Gigaset USB Adapter 108
Gothic II - Die Nacht des Raben
Gothic II - Modification Development Kit
GothicTextEditor
HijackThis 2.0.2
hp deskjet 5100
hp print screen utility
ICQ 5.1
Java(TM) 6 Update 3
KhalInstallWrapper
LEGO Star Wars II
Logitech SetPoint
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual J# .NET Redistributable Package 1.1
Mozilla Firefox (2.0.0.12)
Mozilla Thunderbird (2.0.0.12)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nero 6 Ultra Edition
Notepad++
NVIDIA Drivers
O&O Defrag Professional Edition
Odyssey Client
Prince of Persia T2T
PunkBuster Services
QuickTime
Radeon Omega Drivers v4.8.442 Setup Files and Tools
Realtek AC'97 Audio
ScummVM 0.11.0
Security Update für Microsoft .NET Framework 2.0 (KB928365)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows XP (KB923789)
Smash Online 1.0
Spamihilator
SpellForce
Spybot - Search & Destroy
Spyware Terminator
TrackMania Nations ESWC 1.7.9
Trend Micro Internet Security Pro
Trend Micro Internet Security Pro
TuneUp Utilities 2008
TweakMASTER
Updaterollup für Windows XP
VideoLAN VLC media player 0.8.6e
Visual C++ CRT 8.0
Windows Communication Foundation
Windows Imaging Component
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
xp-AntiSpy 3.96-8
Zune Desktop Theme

und noch das letzte

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CC58-90AD

Verzeichnis von C:\WINDOWS\system32

08.03.2008 21:35 0 tmp.txt
08.03.2008 21:35 1.498 tmp.reg
08.03.2008 21:24 192.512 kdfvmgr.exe
08.03.2008 21:24 77.824 kdfapi.dll
08.03.2008 21:24 53.248 Kdfhok.dll
08.03.2008 21:24 722.472 kdfmgr.exe
08.03.2008 20:38 846.336 kdfinj.dll
08.03.2008 20:33 674.256 oodbs.lor
05.03.2008 22:29 82.432 IEDFix.exe
05.03.2008 18:17 13.646 wpa.dbl
01.03.2008 23:12 86.016 VACFix.exe
29.02.2008 19:39 307.968 TuneUpDefragService.exe
21.02.2008 02:57 54.608 xfcodec.dll
18.02.2008 04:32 28.416 uxtuneup.dll
11.01.2008 17:38 542.308 perfh007.dat
11.01.2008 17:38 517.192 perfh009.dat
11.01.2008 17:38 89.058 perfc009.dat
11.01.2008 17:38 105.708 perfc007.dat
11.01.2008 17:38 1.270.782 PerfStringBackup.INI
11.01.2008 06:49 44.544 pngfilt.dll
06.01.2008 12:11 679.936 spsplib1.dll
05.01.2008 15:17 413.696 wrap_oal.dll
05.01.2008 15:17 110.592 OpenAL32.dll

08.03.2008, 22:06

Pinguin

Ehrenmitglied

Beiträge: 1441

#4 0.
mit dem HijackThis löschen ("fixen")

Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: RDL Rolex - {6BF442E4-D165-46BD-B4B9-D6A69F1C20BA} - (no file)

O3 - Toolbar: (no name) - {A133882E-2F89-47A3-A01C-8FA1D04B8E57} - (no file)

O21 - SSODL: btrklfr - {7CBD181F-011F-45A5-B488-2ED769537F27} - C:\WINDOWS\btrklfr.dll

O21 - SSODL: apdqnxp - {3F79FEFA-A969-4218-B5EA-B79B31D2DF3B} - C:\WINDOWS\apdqnxp.dll

1.
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Spyware Terminator

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6BF442E4-D165-46BD-B4B9-D6A69F1C20BA}]
[-HKEY_CLASSES_ROOT\clsid\{e7620c98-fccc-40e5-92ec-c7685d2e1e40}]
[-HKEY_CLASSES_ROOT\TSToolbar.TSProtectorBar.1]
[-HKEY_CLASSES_ROOT\TypeLib\{EC525605-2266-4775-8F78-A68A6446465C}]
[-HKEY_CLASSES_ROOT\TSToolbar.TSProtectorBar]

File::
C:\WINDOWS\apdqnxp.dll
C:\WINDOWS\btrklfr.dll
C:\WINDOWS\fqspogw.exe

Folder::
C:\Programme\Spyware Terminator
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

PC neustarten

in C:\ComboFix.txt ist alles gespeichert, kopiere es ab und ins Sicherheitsforum

----------------
««
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

««
HostsXpert - laden + anwenden
http://www.virus-protect.org/host.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

08.03.2008, 22:28

humid

...neu hier

Themenstarter

Beiträge: 4

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 08.03.2008 22:23:48 for strings:
; 'spyware terminator
spyware terminator
spyware terminator'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

Zitat

ComboFix 08-03-07.4 - Lenni 2008-03-08 22:26:55.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1440 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Lenni\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Lenni\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\apdqnxp.dll
C:\WINDOWS\btrklfr.dll
C:\WINDOWS\fqspogw.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator\sp_rsdel.exe
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\BIN_RSDATA.SPT
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\info.htm
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\appguard0.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\appguard1.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\appguard2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\appguard3.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\appguard4.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\clamguard0.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\clamguard1.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\info.ini
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\intguard0.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\intguard1.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\intguard2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\intguard3.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\intguard4.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\intguard5.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\language.inf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\language.ini
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\language.txt
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\ScanAdvanced2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\scancustom.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\scancustom2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\ScanExtension2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\scanfast.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\scanfast2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\scanfull.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\scanfull2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\Scanfullvirus2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\scansmart2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\Scanvirus2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\Scanvirus2a.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\Scanvirus2b.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\Scanvirus2c.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\sysguard0.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\sysguard1.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\sysguard2.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\sysguard3.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\util01.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\util02.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\util03.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\LanguageAct\util04.rtf
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\reports.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0001.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0002.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0003.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0004.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0005.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0006.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0007.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0008.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0009.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0010.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0011.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\scan_0012.dat
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\Reports\supportReport.txt
C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spyware Terminator\scanConfig.xml
C:\Programme\Spyware Terminator
C:\Programme\Spyware Terminator\BIN_RSCSDA.SPF
C:\Programme\Spyware Terminator\BIN_STDATA.SPT
C:\Programme\Spyware Terminator\BIN_STDATA_DIF.SPT
C:\Programme\Spyware Terminator\bin_stdatach.spt
C:\Programme\Spyware Terminator\BIN_STQUEUE.SPT
C:\Programme\Spyware Terminator\BIN_STUIUS.SPT
C:\Programme\Spyware Terminator\history.txt
C:\Programme\Spyware Terminator\languages\ST_BOSNIAN.cab
C:\Programme\Spyware Terminator\languages\ST_BRAZILIANS.cab
C:\Programme\Spyware Terminator\languages\ST_CATALAN.cab
C:\Programme\Spyware Terminator\languages\ST_CZECH.cab
C:\Programme\Spyware Terminator\languages\ST_DUTCH.cab
C:\Programme\Spyware Terminator\languages\ST_ENGLISH.cab
C:\Programme\Spyware Terminator\languages\ST_FRENCH.cab
C:\Programme\Spyware Terminator\languages\ST_GERMAN.cab
C:\Programme\Spyware Terminator\languages\ST_HUNGARIAN.cab
C:\Programme\Spyware Terminator\languages\ST_ITALIANO.cab
C:\Programme\Spyware Terminator\languages\ST_POLISH.cab
C:\Programme\Spyware Terminator\languages\ST_PORTUGUESE.cab
C:\Programme\Spyware Terminator\languages\ST_RUSSIAN.cab
C:\Programme\Spyware Terminator\languages\ST_SERBIAN.cab
C:\Programme\Spyware Terminator\languages\ST_SPANISH.cab
C:\Programme\Spyware Terminator\languages\ST_SWEDISH.cab
C:\Programme\Spyware Terminator\languages\ST_TURKISH.cab
C:\Programme\Spyware Terminator\languages\ST_VALENCIAN.cab
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\Programme\Spyware Terminator\sptcontmenu.dll
C:\Programme\Spyware Terminator\SpywareTerminator.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Programme\Spyware Terminator\unins000.dat
C:\Programme\Spyware Terminator\unins000.exe
C:\WINDOWS\apdqnxp.dll
C:\WINDOWS\btrklfr.dll
C:\WINDOWS\fqspogw.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-08 bis 2008-03-08 ))))))))))))))))))))))))))))))
.

2008-03-08 21:35 . 2008-03-08 21:35 1,498 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-08 21:34 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-08 21:34 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-08 21:34 . 2008-03-01 23:12 86,016 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-08 21:34 . 2008-03-05 22:29 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-08 21:34 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-08 21:34 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-08 21:02 . 2008-03-08 21:02 <DIR> d-------- C:\Programme\Lavasoft
2008-03-08 20:38 . 2008-03-08 20:38 <DIR> d-------- C:\WINDOWS\kdefense
2008-03-08 20:38 . 2008-03-08 20:38 846,336 --a------ C:\WINDOWS\system32\kdfinj.dll
2008-03-08 20:38 . 2008-03-08 21:24 722,472 --a------ C:\WINDOWS\system32\kdfmgr.exe
2008-03-08 20:38 . 2008-03-08 21:24 192,512 --a------ C:\WINDOWS\system32\kdfvmgr.exe
2008-03-08 20:38 . 2008-03-08 21:24 77,824 --a------ C:\WINDOWS\system32\kdfapi.dll
2008-03-08 20:38 . 2008-03-08 21:24 53,248 --a------ C:\WINDOWS\system32\Kdfhok.dll
2008-03-08 20:23 . 2008-03-08 20:23 <DIR> d-------- C:\WINDOWS\LocalSSL
2008-03-08 20:23 . 2007-12-24 17:37 138,384 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-03-08 20:23 . 2007-12-24 17:37 52,496 --a------ C:\WINDOWS\system32\drivers\tmactmon.sys
2008-03-08 20:23 . 2007-12-24 17:37 52,240 --a------ C:\WINDOWS\system32\drivers\tmevtmgr.sys
2008-03-08 20:22 . 2008-03-08 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-03-08 20:20 . 2008-03-08 20:23 <DIR> d-------- C:\Programme\Trend Micro
2008-03-07 17:17 . 2008-03-07 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-02-29 19:39 . 2008-02-18 04:32 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-26 20:26 . 2008-03-02 14:38 <DIR> d-------- C:\Programme\ScummVM
2008-02-23 15:05 . 2008-03-07 13:11 <DIR> d-------- C:\Programme\GothicTextEditor
2008-02-22 15:26 . 2008-02-22 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\ScummVM
2008-02-21 02:57 . 2008-02-21 02:57 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-02-19 16:03 . 2008-03-07 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Hamachi
2008-02-19 16:03 . 2008-02-22 15:14 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-02-19 15:02 . 2008-02-19 15:02 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Ahead
2008-02-18 21:26 . 2008-02-29 19:39 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-18 17:54 . 2008-02-18 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\dvdcss
2008-02-17 13:26 . 2003-07-20 19:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2008-02-17 13:26 . 2005-01-04 10:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2008-02-17 13:25 . 2008-02-17 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS
2008-02-16 23:18 . 2008-02-16 23:18 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\vlc
2008-02-15 23:46 . 2004-08-03 22:59 34,688 --a------ C:\WINDOWS\system32\drivers\lbrtfdc.sys
2008-02-15 23:46 . 2004-08-03 22:59 34,688 --a--c--- C:\WINDOWS\system32\dllcache\lbrtfdc.sys
2008-02-15 23:46 . 2004-08-04 00:44 5,504 --a------ C:\WINDOWS\system32\drivers\intelide.sys
2008-02-15 23:46 . 2004-08-04 00:44 5,504 --a--c--- C:\WINDOWS\system32\dllcache\intelide.sys
2008-02-15 23:46 . 2004-08-03 22:59 5,376 --a------ C:\WINDOWS\system32\drivers\viaide.sys
2008-02-15 23:46 . 2004-08-03 22:59 5,376 --a--c--- C:\WINDOWS\system32\dllcache\viaide.sys
2008-02-15 23:45 . 2008-03-07 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\PrevxCSI
2008-02-15 15:05 . 2008-02-15 15:05 <DIR> d-------- C:\Programme\MSXML 6.0
2008-02-15 15:05 . 2008-02-15 15:05 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-12 15:32 . 2008-02-12 15:32 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-02-10 12:03 . 2008-03-03 17:03 <DIR> d-------- C:\Programme\Notepad++
2008-02-10 12:03 . 2008-03-03 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Notepad++

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-08 20:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-08 19:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-07 22:27 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Xfire
2008-03-06 17:58 --------- d-----w C:\Programme\xp-AntiSpy
2008-03-06 14:47 --------- d-----w C:\Programme\Xfire
2008-03-05 19:27 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Spamihilator
2008-03-05 19:18 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-03-04 12:11 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-03-03 18:21 --------- d-----w C:\Programme\ICQLite
2008-02-27 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-23 20:21 1,409 ----a-w C:\WINDOWS\Fonts\courchess.fot
2008-02-22 17:12 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2008-02-22 16:10 --------- d-----w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-02-16 22:12 --------- d-----w C:\Programme\VideoLAN
2008-02-10 15:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-03 09:30 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-01-31 17:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POP3Profiles
2008-01-31 17:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-30 10:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-13 18:29 --------- d-----w C:\Programme\directx
2008-01-13 18:28 --------- d-----w C:\Programme\Rockstar Games
2007-12-22 20:21 0 ----a-r C:\logwmemory.bin
2007-12-06 14:17 22,328 ----a-w C:\Dokumente und Einstellungen\Lenni\Anwendungsdaten\PnkBstrK.sys
2007-11-02 14:31 14 ----a-w C:\Dokumente und Einstellungen\Lenni\getfile.dat
2007-08-25 20:12 96,374 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-08-30 18:55 23 --sha-w C:\WINDOWS\system32\aeacfafdfbbe_g.dll
.

------- Sigcheck -------

64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\system32\drivers\tcpip.sys
----a-w 360,576 2006-06-13 19:32:57 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
-c----w 359,808 2006-06-13 19:32:57 C:\WINDOWS\$NtUninstallPRESP3$\tcpip.sys
-c--a-w 360,832 2007-10-30 16:53:32 C:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 360,832 2007-10-30 16:53:32 C:\WINDOWS\system32\drivers\tcpip.sys

fdd544cd9a10443a242c2ce7489693e9 C:\WINDOWS\system32\winlogon.exe
-c----w 507,392 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallPRESP3$\winlogon.exe
----a-w 512,512 2007-06-04 12:38:50 C:\WINDOWS\system32\winlogon.exe
-c--a-w 512,512 2007-06-04 12:38:50 C:\WINDOWS\system32\dllcache\winlogon.exe

bc84c4f67d0e880b0c46dc0ce2b8cbaa C:\WINDOWS\system32\drivers\ndis.sys
-c----w 182,912 2004-08-04 12:00:00 C:\WINDOWS\$NtUninstallPRESP3$\ndis.sys
-c--a-w 182,656 2006-05-02 10:55:10 C:\WINDOWS\system32\dllcache\ndis.sys
----a-w 182,656 2006-05-02 10:55:10 C:\WINDOWS\system32\drivers\ndis.sys

6ad938f00c02111a70a832080c9a2614 C:\WINDOWS\system32\ntkrnlpa.exe
----a-w 2,059,264 2005-03-02 09:11:32 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
-c----w 2,019,840 2007-02-28 16:06:01 C:\WINDOWS\$NtUninstallPRESP3$\ntkrnlpa.exe
------w 2,064,640 2007-07-19 14:20:30 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
----a-w 2,023,424 2007-07-19 14:20:18 C:\WINDOWS\system32\ntkrnlpa.exe
-c--a-w 2,064,640 2007-07-19 14:20:30 C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

f54af55d175bf7406ab634d2fbf19cc9 C:\WINDOWS\system32\ntoskrnl.exe
----a-w 2,181,888 2005-03-02 18:11:53 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
-c----w 2,140,160 2007-02-28 16:06:02 C:\WINDOWS\$NtUninstallPRESP3$\ntoskrnl.exe
----a-w 2,187,776 2007-07-19 14:20:26 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
----a-w 2,143,744 2007-07-19 14:20:20 C:\WINDOWS\system32\ntoskrnl.exe
-c--a-w 2,187,776 2007-07-19 14:20:26 C:\WINDOWS\system32\dllcache\ntoskrnl.exe

331ed93570baf3cfe30340298762cd56 C:\WINDOWS\explorer.exe
----a-w 1,036,288 2007-06-13 13:10:08 C:\WINDOWS\explorer.exe
-c----w 1,035,264 2005-04-07 18:46:59 C:\WINDOWS\$NtUninstallPRESP3$\explorer.exe
-c--a-w 1,036,288 2007-06-13 13:10:08 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 15:49 77824]
"AtiPTA"="atiptaxx.exe" [2006-02-22 02:05 344064 C:\WINDOWS\system32\atiptaxx.exe]
"UfSeAgnt.exe"="C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe" [2007-11-06 06:11 1393928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWinKeys"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"btrklfr"= {3EB47117-D5F0-4288-89FE-CB56349137E8} - C:\WINDOWS\btrklfr.dll [ ]
"apdqnxp"= {71814300-15B1-42AD-90BE-C0DC66C1A643} - C:\WINDOWS\apdqnxp.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiTrayTools]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-10-23 19:51 233472 C:\Programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-06-25 11:24 49152 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2003-11-08 02:01 188416 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateStar]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindServiceAE"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"PnkBstrA"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\Spamihilator\\dccproc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=
"Z:\\Gothic II\\_work\\tools\\zSpy\\zSpy.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"Z:\\Die Schlacht um Mittelerde II\\game.dat"=
"Z:\\Die Schlacht um Mittelerde(tm)\\game.dat"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 SSHDRV84;SSHDRV84;C:\WINDOWS\system32\drivers\SSHDRV84.sys [2007-10-29 16:35]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 AR5523;Gigaset USB Adapter 108;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2005-07-27 20:11]
R3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\CBTNDIS5.SYS [2003-07-16 21:28]
R3 OdysseyIM4;Odyssey Network Agent Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2004-09-24 22:36]
S1 DumpDrv;Crash Dump Driver;C:\WINDOWS\system32\drivers\DumpDrv.sys [2006-04-14 01:17]
S3 krdpdre;krdpdre;C:\DOKUME~1\Lenni\LOKALE~1\Temp\krdpdre.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-29 19:39]
S3 WinRM;Windows-Remoteverwaltung (WS-Verwaltung);C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-08 21:28:21 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-08 22:28:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
C:\Programme\Trend Micro\BM\TMBMSRV.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\OdHost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Programme\Trend Micro\Internet Security\TmProxy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-08 22:30:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-08 21:30:17
ComboFix2.txt 2008-03-08 20:43:35
.
2007-12-12 15:49:06 --- E O F ---

08.03.2008, 23:42

Pinguin

Ehrenmitglied

Beiträge: 1441

#6 Hallo

1.
gehe in die Registry
Start - Ausführen - regedit

klicke dich durch zum Schlüssel:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWinKeys"= 1 (0x1) - in 0 ändern oder löschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"btrklfr" - löschen
"apdqnxp" - löschen

speichern + PC neustarten

-----------------
2.
scanne, lasse alles gefundene loeschen + poste hier den report
http://www.virus-protect.org/artikel/tools/malwarebytes.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

09.03.2008, 09:32

raman

Moderator

Beiträge: 7805

#7 Koenntest du folgendes an meine unten angegebene Adresse schicken?

C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\explorer.exe

Du hattest das SP3 von Xp installiert gehabt?
__________
MfG Ralf
SEO-Spam Hunter

09.03.2008, 10:14

humid

...neu hier

Themenstarter

Beiträge: 4

Zitat

Malwarebytes' Anti-Malware 1.07
Datenbank Version: 470

Scan Art: Komplett Scan (C:\|Z:\|)
Objekte gescannt: 104659
Scan Dauer: 21 minute(s), 26 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\enlfxgw.bvmf (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\explorer.backup (Heuristic.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

@ raman : meinst du mich?
nein ich hatte nur service pack 2 installiert!
sp3 ist doch noch gar nicht fertig?!

09.03.2008, 10:41

raman

Moderator

Beiträge: 7805

#9 Richtig, das sp3 ist noch nicht fertig. Es sah nur so aus, als das du es installiert gahabt haettest. Es waere dennoch nett, wenn du obige Dateien schicken koenntest...
__________
MfG Ralf
SEO-Spam Hunter

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1