Trojaner "TR/Vundo.AG" + "TR/Vundo.Gen" (plötzlich) wirklich weg?

#1 Hallo!

Zunächst einmal zwei Vorbemerkungen ...

a) Schön, dass es Euch gibt! ;-) und

b) Ich bin eine PC-technische Wildsau!
Das soll heißen, dass ich (manchmal) schon genügend Probleme mit div Anwendungen habe und mich darüber hinaus nicht sonderlich (um nicht zu sagen gar nicht) mit PCs auskenne. Ich bitte das bei der Antwort und/oder ggf Problemlösung zu berücksichtigen!? ;-))


Zur Sache ...

Wie im obigen Thread beschrieben, habe ich meine "Hausaufgaben" vorab bereits erledigt! Und zwar folgende:

_________________________________________________________________

1. Temporäre Dateien mittels ATF-Cleaner beseitigt!
_________________________________________________________________

2. Combifix-Scan durchgeführt - hier der Report:

ComboFix 08-03-14.2 - Robert 14.03.2008 20:04:20.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Robert\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\FunWebProducts
C:\Programme\FunWebProducts\PopSwatr\History\allowed
C:\Programme\FunWebProducts\PopSwatr\History\notallow
C:\Programme\FunWebProducts\Shared\0051FDD4.dat
C:\Programme\MyWebSearch
C:\Programme\MyWebSearch\bar\History\search
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat
C:\Programme\MyWebSearch\bar\Settings\settings.dat
C:\Programme\MyWebSearch\bar\Settings\settings.htm
C:\WINNT\BM47f27719.xml
C:\WINNT\pskt.ini
C:\WINNT\system32\aycfe.ini
C:\WINNT\system32\aycfe.ini2
C:\WINNT\system32\cfkduemc.dll
C:\WINNT\system32\config\SAM.SAV
C:\WINNT\system32\dobqfrjm.dll
C:\WINNT\System32\efcya.dll
C:\WINNT\system32\juxipjuk.ini
C:\WINNT\system32\kujpixuj.dll
C:\WINNT\system32\nnnmllj.dll
C:\WINNT\system32\pskill.exe
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\nm


((((((((((((((((((((((( Dateien erstellt von 2008-02-14 bis 2008-03-14 ))))))))))))))))))))))))))))))
.

2008-03-13 18:41 . 08-03-13 18:41 6 --a------ C:\WINNT\system32\44c1560b
2008-03-13 16:30 . 08-03-13 16:30 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\AdobeUM
2008-03-13 15:06 . 08-03-13 15:58 1,344,491 ---hs---- C:\WINNT\system32\mkjuvgfp.ini
2008-03-10 19:15 . 08-03-10 19:15 <DIR> d-------- C:\Programme\Avira
2008-03-10 19:15 . 08-03-10 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 12:42 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PferdeHof
2008-02-04 12:39 --------- d-----w C:\Programme\Pferdehof
2006-09-06 16:35 774,144 -c--a-w C:\Programme\RngInterstitial.dll
2003-08-18 17:48 271 ---h--w C:\Programme\desktop.ini
2003-08-18 17:48 22,080 ---h--w C:\Programme\folder.htt
1999-12-10 10:00 32,528 -c--a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6287705f-f8e8-4b9b-bf2d-ca16b8188c25}]
C:\WINNT\System32\exscodua.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [07-07-16 14:17 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [99-12-10 11:00 112400 C:\WINNT\system32\mobsync.exe]
"NvCplDaemon"="C:\WINNT\System32\NvCpl.dll" [04-03-24 09:04 3309568]
"nwiz"="nwiz.exe" [04-03-24 09:04 782336 C:\WINNT\system32\nwiz.exe]
"EnsoniqMixer"="starter.exe" [00-08-10 11:58 32768 C:\WINNT\system32\starter.exe]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [00-07-12 20:15 24576]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [00-07-12 21:30 311350]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [00-07-21 23:55 28739]
"zBrowser Launcher"="C:\PROGRA~1\Logitech\iTouch\iTouch.exe" [00-07-20 00:50 143360]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [00-07-18 08:12 33792]
"LoadQM"="loadqm.exe" [00-05-03 17:23 7536 C:\WINNT\loadqm.exe]
"NvMediaCenter"="C:\WINNT\System32\NvMcTray.dll" [04-03-24 09:04 46080]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [06-01-31 20:41 180269]
"Ulead AutoDetector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [03-11-19 13:03 45056]
"Ulead Photo Express 5 SE Calendar Checker"="C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [04-01-12 20:40 69632]
"GSP"="C:\PROGRA~1\KOSYMA\UPDATE\ORDER.exe" [07-08-17 10:14 1748480]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [08-03-13 16:03 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 11:00 20752 C:\WINNT\system32\internat.exe]
"NvMediaCenter"="C:\WINNT\System32\NVMCTRAY.DLL" [04-03-24 09:04 46080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [99-12-10 13:00 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnmllj]
nnnmllj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 01-11-02 09:50 24636 C:\WINNT\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINNT\System32\efcya.dll

R0 avgntmgr;avgntmgr;C:\WINNT\System32\DRIVERS\avgntmgr.sys [07-07-18 14:21 ]
R1 avgntdd;avgntdd;C:\WINNT\System32\DRIVERS\avgntdd.sys [07-08-09 13:03 ]
R1 prodrv04;Star Force copy protection driver v4;C:\WINNT\System32\drivers\prodrv04.sys [04-12-26 13:58 ]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINNT\System32\DRIVERS\avmwan.sys [99-10-19 13:27 ]
R3 fpcibase;FRITZ!Card PCI;C:\WINNT\System32\DRIVERS\fpcibase.sys [99-09-24 18:17 ]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINNT\System32\DRIVERS\NETFRITZ.SYS [00-07-11 16:31 ]
S1 sglfb;sglfb;C:\WINNT\System32\drivers\sglfb.sys [99-12-10 11:00 ]
S3 SFC4;SFC4;C:\WINNT\System32\drivers\SFC4.sys [98-09-16 08:07 ]

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-14 20:14:44
Windows 5.0.2195 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINNT\BSERVER3.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINNT\System32\mspmspsv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-14 20:22:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-14 19:22:25


_________________________________________________________________

3. HiJackThis-Logfile erstellt :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:15, on 14.03.2008
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\BSERVER3.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\starter.exe
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\loadqm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINNT\twain_32\A4CIS600\WATCH.exe
C:\Dokumente und Einstellungen\Robert\Desktop\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6287705f-f8e8-4b9b-bf2d-ca16b8188c25} - C:\WINNT\System32\exscodua.dll (file missing)
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [GSP] C:\PROGRA~1\KOSYMA\UPDATE\ORDER.EXE JUSTCHECK
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Amyuni Optionen.lnk = C:\WINNT\Amyopt.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FB48DA-63F9-4165-90EA-17B97611AD7D}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: nnnmllj - nnnmllj.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: BServerDienst (BserverDienst) - Brainstorm Informatik GmbH - C:\WINNT\BSERVER3.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - file:///C:/Dokumente%20und%20Einstellungen/Robert/Lokale%20Einstellungen/Temp/PKGA.JPG
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.gif
O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.jpg

--
End of file - 7850 bytes


_________________________________________________________________

4. datFind.bat-Logfiles erstellt:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: hat keine Bezeichnung.
Datenträgernummer: 44C1-442A

Verzeichnis von C:\WINNT\system32

14.03.2008 20:40 3.725 nvapps.xml
13.03.2008 18:41 6 44c1560b
13.03.2008 15:58 1.344.491 mkjuvgfp.ini
11.03.2008 22:56 98.304 dfrg.msc
24.10.2007 11:48 28.672 ssconfig.exe

[...]

2052 Datei(en) 373.163.115 Bytes
0 Verzeichnis(se), 18.860.424.192 Bytes frei
.
.
.
Datenträger in Laufwerk C: hat keine Bezeichnung.
Datenträgernummer: 44C1-442A

Verzeichnis von C:\DOKUME~1\Robert\LOKALE~1\Temp

14.03.2008 21:54 106.497 datfind.txt
14.03.2008 21:34 16.384 ~DF3E0B.tmp
2 Datei(en) 122.881 Bytes
0 Verzeichnis(se), 18.860.424.192 Bytes frei
.
.
.
Datenträger in Laufwerk C: hat keine Bezeichnung.
Datenträgernummer: 44C1-442A

Verzeichnis von C:\WINNT

14.03.2008 20:41 4.166 GAUSS.INI
14.03.2008 20:40 4.166 GAUSS.bak
14.03.2008 20:14 227 system.ini
14.03.2008 20:10 32.548 SchedLgU.Txt
14.03.2008 20:05 2.623 BM47f27719.txt
14.03.2008 12:47 196 hpbafd.ini
14.03.2008 06:26 1.064 Ulead32.ini
13.03.2008 18:36 641.614 ShellIconCache
11.03.2008 09:29 133.795.840 MEMORY.DMP
04.03.2008 10:47 13.282 MKDEMSG.LOG
03.03.2008 07:20 1.536 MKDEWE.TRN
27.02.2008 23:12 1.065 winamp.ini
14.02.2008 16:56 362 UP.LOG
11.02.2008 08:12 1.140 win.ini
28.01.2008 12:43 1.123.237 setupapi.log
04.12.2007 02:00 292.469 wmsetup.log

[...]

158 Datei(en) 151.297.071 Bytes
0 Verzeichnis(se), 18.860.407.808 Bytes frei
.
.
.
Datenträger in Laufwerk C: hat keine Bezeichnung.
Datenträgernummer: 44C1-442A

Verzeichnis von C:\WINNT\temp

.
.
.
Datenträger in Laufwerk C: hat keine Bezeichnung.
Datenträgernummer: 44C1-442A

Verzeichnis von C:\WINNT\Downloaded Program Files

11.04.2007 14:55 1.292 erma.inf

[...]
10 Datei(en) 15.144 Bytes
0 Verzeichnis(se), 18.860.407.296 Bytes frei
.

_________________________________________________________________


5. Problembeschreibung:

Öööööhm ... Die momentane Problembeschreibung ist eigentlich relativ kurz und bündig: Keine (mehr)!

Aaaaaber ich traue dem Braten nicht so wirklich - mit Recht?


Was ist passiert? Ich hatte mir vor einigen Tagen den/die o.g. Virus eingefangen ...

Anschließend habe ich verzweifelt versucht ihn mit "Avira AntiVir" zu bekämpfen.

Ich habe mehrere "vollständige Systemprüfungen" durchgeführt - vergeblich!
Vergeblich bedeutet übrigens nicht, dass nichts gefunden wurde - im Gegenteil! - sondern nur, dass sich das Problem, bzw. der Virus eben nicht vollständig beseitigen ließ. :-(((

Auch war der "Guard" ständig aktiv(iert)! Und WIE aktiv der war!
Anfangs "meldete er sich sporadisch" (alle paar Minuten), woraufhin ich dann meist die "empfohlene Maßnahme" (also die "voreingestellte/markierte" - z.B.: "Quarantäne", "(bei Neustart) löschen", "ignorieren", etc. pp.
Zu guter Letzt konnte ich allerdings die Virusmeldungen gar nicht mehr so schnell "abarbeiten", wie sie auf dem Bildschirm erschienen, sodass ich den Guard letztendlich DEaktiviert habe, mich zu "Google" begeben und EUCH gefunden habe.

Nach einigem "Stöbern" habe ich dann meine o.g. "Hausaufgaben" gemacht und im Anschluß daran den Rechner nochmals neu gestartet.

Und nun passierte das Unerwartete - nämlich: NICHTS! ;-))
Das heißt, das System fuhr hoch, der Guard wurde (automatisch) aktiviert, aaaaber es kam plötzlich keine Virusmeldung mehr!!!

Öööööhm ... was hab' ich gemacht? *gg
Heißt das jetzt, ich bin den/die Trojaner jetzt wirklich quitt?
Muß ich noch irgend was tun? (Außer beten? *gg)


P.S.: Ach so ... und wo ich nun schon mal hier bin ...
Ist "Avira AntiVir" wirklich zu empfehlen?
Oder gibt's es bessere/sinnvollere/effektivere kostenlose (!) Virenscanner?
Vielleicht sogar einer, der den PC NICHT (so sehr) "langsamer" macht?

Besten Dank schon mal für die Mühe!

#2 ««
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O2 - BHO: (no name) - {6287705f-f8e8-4b9b-bf2d-ca16b8188c25} - C:\WINNT\System32\exscodua.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab

O20 - Winlogon Notify: nnnmllj - nnnmllj.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

««
Malwarebytes Anti-Malware
http://www.virus-protect.org/artikel/tools/malwarebytes.html
Download MBAM zum Desktop
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren". durchfuehren
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
__________
MfG Argus

#3 Kölsche Jung

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6287705f-f8e8-4b9b-bf2d-ca16b8188c25}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnmllj]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00

File::
C:\WINNT\System32\efcya.dll
C:\WINNT\system32\44c1560b
C:\WINNT\system32\mkjuvgfp.ini

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix csfscript - mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#4

Zitat

Arnold postete
[...]

Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

Hallo Arnold,

zunächst einmal viiielen, viiielen Dank für die superschnelle Hilfe - Ihr seid echt klasse!!!

MBAM habe ich dann diese Nacht noch durchlaufen lassen. Es ist 13x (!!) fündig geworden!
[Ist also "Avira AntiVir" doch nicht soooo gut? Oder hat sich der Virus nur zwischenzeitlich "vermehrt"? Siehe auch meine obige Frage!]

Es kam auch, wie von Dir erwartet, der Hinweis nach dem Neustart, allerdings ließ sich der PC nicht runterfahren - weder "von alleine", noch nach "Start >> beenden", sodass ich ihn dann "hart ausmachen" mußte ("Aus-Knopf" drücken).

So, jetzt werde ich mir ComboFix noch mal downloaden - ich hatte Dein Posting bereits gelesen, als dort noch stand, ich solle ComboFix zunächst löschen - und dann werde ich versuchen zu verstehen (und auch zu tun), was Pinguin von mir möchte! ;-)

@ Pinguin

Auch Dir schon mal: Viiielen, viiielen Dank!!!



Hier un das MBAM-log:

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 493

Scan Art: Komplett Scan (A:\|C:\|S:\|)
Objekte gescannt: 328981
Scan Dauer: 2 hour(s), 4 minute(s), 1 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
c:\programme\msn messenger\riched20.dll (Adware.MyWeb.FunWeb) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a4730ebe-43a6-443e-9776-36915d323ad3} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
c:\programme\msn messenger\riched20.dll (Adware.MyWeb.FunWeb) -> Delete on reboot.

#5 lade also Combofix noch mal + wende das script an, poste dann bitte den neuen report von combifix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6

Zitat

Pinguin postete
lade also Combofix noch mal + wende das script an, poste dann bitte den neuen report von combifix

Dein Wunsch ist mir Befehl, Pinguin! ;-))

ComboFix 08-03-14.4 - Robert 15.03.2008 12:53:57.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Robert\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Robert\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINNT\system32\44c1560b
C:\WINNT\System32\efcya.dll
C:\WINNT\system32\mkjuvgfp.ini
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-15 bis 2008-03-15 ))))))))))))))))))))))))))))))
.

2008-03-15 12:54 . 15.03.08 12:54 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_2fc.dat
2008-03-15 12:46 . 15.03.08 12:46 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_4f4.dat
2008-03-14 23:39 . 14.03.08 23:39 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-14 23:39 . 14.03.08 23:39 <DIR> d-------- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Malwarebytes
2008-03-14 23:39 . 14.03.08 23:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-13 16:30 . 13.03.08 16:30 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\AdobeUM
2008-03-10 19:15 . 10.03.08 19:15 <DIR> d-------- C:\Programme\Avira
2008-03-10 19:15 . 10.03.08 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 10:29 --------- d-----w C:\Programme\MSN Messenger
2008-02-04 12:42 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PferdeHof
2008-02-04 12:39 --------- d-----w C:\Programme\Pferdehof
2006-09-06 16:35 774,144 -c--a-w C:\Programme\RngInterstitial.dll
2003-08-18 17:48 271 ---h--w C:\Programme\desktop.ini
2003-08-18 17:48 22,080 ---h--w C:\Programme\folder.htt
1999-12-10 10:00 32,528 -c--a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [16.07.07 14:17 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [10.12.99 11:00 112400 C:\WINNT\system32\mobsync.exe]
"NvCplDaemon"="C:\WINNT\System32\NvCpl.dll" [24.03.04 09:04 3309568]
"nwiz"="nwiz.exe" [24.03.04 09:04 782336 C:\WINNT\system32\nwiz.exe]
"EnsoniqMixer"="starter.exe" [10.08.00 11:58 32768 C:\WINNT\system32\starter.exe]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [12.07.00 20:15 24576]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [12.07.00 21:30 311350]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [21.07.00 23:55 28739]
"zBrowser Launcher"="C:\PROGRA~1\Logitech\iTouch\iTouch.exe" [20.07.00 00:50 143360]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [18.07.00 08:12 33792]
"LoadQM"="loadqm.exe" [03.05.00 17:23 7536 C:\WINNT\loadqm.exe]
"NvMediaCenter"="C:\WINNT\System32\NvMcTray.dll" [24.03.04 09:04 46080]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [31.01.06 20:41 180269]
"Ulead AutoDetector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [19.11.03 13:03 45056]
"Ulead Photo Express 5 SE Calendar Checker"="C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [12.01.04 20:40 69632]
"GSP"="C:\PROGRA~1\KOSYMA\UPDATE\ORDER.exe" [17.08.07 10:14 1748480]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [13.03.08 16:03 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 11:00 20752 C:\WINNT\system32\internat.exe]
"NvMediaCenter"="C:\WINNT\System32\NVMCTRAY.DLL" [24.03.04 09:04 46080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [10.12.99 13:00 189712]

C:\Dokumente und Einstellungen\Robert\Startmen�\Programme\Autostart\
Watch.lnk - C:\WINNT\twain_32\A4CIS600\WATCH.exe [2003-05-10 23:12:13 379904]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Amyuni Optionen.lnk - C:\WINNT\Amyopt.exe [2007-08-03 14:48:51 20480]
Erinnerungen in Microsoft Works-Kalender.lnk - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2000-07-12 21:30:38 24633]
FRITZ!fax.lnk - C:\Programme\FRITZ!\FriFax32.exe [2003-06-18 11:59:59 507904]
ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe [2003-06-18 12:00:03 303104]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:54 65588]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 02.11.01 09:50 24636 C:\WINNT\system32\PCANotify.dll

R0 avgntmgr;avgntmgr;C:\WINNT\System32\DRIVERS\avgntmgr.sys [18.07.07 14:21 ]
R1 avgntdd;avgntdd;C:\WINNT\System32\DRIVERS\avgntdd.sys [09.08.07 13:03 ]
R1 prodrv04;Star Force copy protection driver v4;C:\WINNT\System32\drivers\prodrv04.sys [26.12.04 13:58 ]
R2 BserverDienst;BServerDienst;C:\WINNT\BSERVER3.EXE [31.10.06 13:37 ]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINNT\System32\DRIVERS\avmwan.sys [19.10.99 13:27 ]
R3 fpcibase;FRITZ!Card PCI;C:\WINNT\System32\DRIVERS\fpcibase.sys [24.09.99 18:17 ]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINNT\System32\DRIVERS\NETFRITZ.SYS [11.07.00 16:31 ]
R3 SFC4;SFC4;C:\WINNT\System32\drivers\SFC4.sys [16.09.98 08:07 ]
S1 sglfb;sglfb;C:\WINNT\System32\drivers\sglfb.sys [10.12.99 11:00 ]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-15 13:00:03
Windows 5.0.2195 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINNT\explorer.exe [5.00.3315.2846]
-> C:\PROGRA~1\Logitech\iTouch\itchhk.dll
.
Zeit der Fertigstellung: 15.03.2008 13:12:46
ComboFix-quarantined-files.txt 2008-03-15 12:12:36
ComboFix2.txt 2008-03-15 11:37:30
ComboFix3.txt 2008-03-14 19:22:36

#7 sehr schön - wunderbar, maravilhoso

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

dann ist alles wieder o.k. ...oder kommen noch Popups ???
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8

Zitat

Pinguin postete
[...]Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

dann ist alles wieder o.k. ...oder kommen noch Popups ???

Hallo Pinguin!

Sofern Du mit den Popups die Virusmeldungen meinst - die sind weg!! :-)))
Ich hatte also in den letzten Stunden lediglich noch irgendwelchen "Werbemüll" und die Windowsmeldung "nicht genügend virtueller Speicher". Das war's!

Öööööhm ... heißt das eigentlich jetzt, ich bin dieses Vieh tatsächlich endgültig los?

Noch was ... Ihr habt mir gesagt, ich solle ComboFix wieder runter schmeissen. Ist das vonnöten, oder kann ich es auch drauflassen?
Gilt das NUR für ComboFix? Oder soll ich die anderen Programme auch wieder löschen? Oder könnte/sollte ich evtl. eins davon grundsätzlich als Virenscanner nutzen?

Ich hatte ja ohnehin schon die Vermutung, dass AntiVir nicht unbedingt das Gelbe vom Ei ist ...
Aber auch meine bereits wiederholt gestellte Frage danach, wurde mir noch nicht beantwortet. :-(

Warum eigentlich nicht?
(Nur) Weil's hier OT ist? (Sorry dafür!)
Oder weil Ihr grundsätzlich keine diesbezüglichen Tipps gebt (/geben könnt/wollt/dürft)?
Btw: Gerne auch per PN und/oder Link!

Jedenfalls bin ich Euch echt dankbar für Eure Hilfe!!!
Sollte einer von Euch (zufälligerweise) mal in Köln zu tun haben: Für Euch steht immer ein kühles Kölsch in meinem Kühlschrank! ;-))

Schönen Sonntag noch!

#9 @Kölsche Jung

ComboFix wird jeden tag ge-updatet hat also keinen sinn es zu behalten
und man kann es nicht benutzen als schutz fuer dein Rechner
Antivir ist ein guter scanner
Antivir
http://board.protecus.de/t23979.htm

MBAM kannst du behalten
__________
MfG Argus

#10

Zitat

lediglich noch irgendwelchen "Werbemüll"

das gefällt mir nicht
öffnet sich der IE und eine seite erscheint oder auf dem Desktop ?

wende bitte silentrunner an + poste den report
http://www.virus-protect.org/silentrunner.html

p.s: ich mag "Kölsch" , aber leider bin ich nie in Köln............
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Kann man "4711"trinken?
__________
MfG Argus

#12 @ Arnold

Nee, 4711 nicht, dafür aber 1396! ;-)

Zitat

Pinguin postete

Zitat

lediglich noch irgendwelchen "Werbemüll"

das gefällt mir nicht
öffnet sich der IE und eine seite erscheint oder auf dem Desktop ?

wende bitte silentrunner an + poste den report
http://www.virus-protect.org/silentrunner.html

p.s: ich mag "Kölsch" , aber leider bin ich nie in Köln............

@ Pinguin

Schade, Köln ist aber immer eine Reise wert. ;-)

Das mit dem "Werbemüll" ist zwar lästig, aber sehe ich leider mittlerweile als "normal" an.
Wenn ich zB bei irgendwelchen "Riesen" vorbei surfe (zB web, gmx, irgendeine Zeitung, bundesliga.de o.ä.) dann kommt das leider schon mal vor, dass sich irgendein Werbe-Popup öffnet. Also nicht immer, bzw. auch nicht ungewöhnlich oft, aber hin und wieder eben.

Hier der von Dir gewünschte Report:

"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"EnsoniqMixer" = "starter.exe" ["Creative Technology, Ltd."]
"WorksFUD" = "C:\Programme\Microsoft Works\wkfud.exe" ["Microsoft® Corporation"]
"Microsoft Works Portfolio" = "C:\Programme\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"]
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" ["Microsoft® Corporation"]
"zBrowser Launcher" = "C:\PROGRA~1\Logitech\iTouch\iTouch.exe" ["Logitech Inc. "]
"EM_EXEC" = "C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]
"LoadQM" = "loadqm.exe" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Ulead AutoDetector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" ["Ulead Systems, Inc."]
"Ulead Photo Express 5 SE Calendar Checker" = "C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" ["Ulead Systems, Inc."]
"GSP" = "C:\PROGRA~1\KOSYMA\UPDATE\ORDER.EXE JUSTCHECK" ["Brainstorm Informatik GmbH"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{CE000992-A58C-4441-8938-744CD72AB27F}\(Default) = "i-Nav IDN Resolver"
-> {HKLM...CLSID} = "i-Nav IDN Resolver"
\InProcServer32\(Default) = "C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll" ["VeriSign, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{CE000992-A58C-4441-8938-744CD72AB27F}" = "i-Nav IDN Resolver"
-> {HKLM...CLSID} = "i-Nav IDN Resolver"
\InProcServer32\(Default) = "C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll" ["VeriSign, Inc."]
"{CE000994-A58C-4441-8938-744CD72AB27F}" = "i-Nav IDN SearchHook"
-> {HKLM...CLSID} = "i-Nav IDN SearchHook"
\InProcServer32\(Default) = "C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll" ["VeriSign, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kvis_neu\Office\Office\soa800.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> PCANotify\DLLName = "PCANotify.dll" ["Symantec Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|
Disable registry editing tools}

HKCU\Software\Policies\Microsoft\Windows\System\

"DisableCMD" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|
Disable the command prompt}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Robert\Eigene Dateien\TN_Bälle.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = ""
"Source" = "file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.gif"
"SubscribedURL" = "file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.gif"

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\2\
"FriendlyName" = ""
"Source" = "file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.jpg"
"SubscribedURL" = "file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.jpg"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\System32\ss3dfo.scr" [MS]


Startup items in "Robert" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\Robert\Startmenü\Programme\Autostart
"Watch" -> shortcut to: "C:\WINNT\twain_32\A4CIS600\WATCH.exe" ["Common Group"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Amyuni Optionen" -> shortcut to: "C:\WINNT\Amyopt.exe" [null data]
"Erinnerungen in Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"FRITZ!fax" -> shortcut to: "C:\Programme\FRITZ!\FriFax32.exe" ["AVM Berlin GmbH"]
"ISDNWatch" -> shortcut to: "C:\Programme\FRITZ!\IWatch.exe" [empty string]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{9455301C-CF6B-11D3-A266-00C04F689C50}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Encarta &Recherche-Assistent"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{9455301C-CF6B-11D3-A266-00C04F689C50}\
"ButtonText" = "Recherche-Assistent"

{CE000992-A58C-4441-8938-744CD72AB27F}\
"ButtonText" = "Hilfe zu i-Nav"
"MenuText" = "Hilfe zu i-Nav"
"Exec" = "http://idn.verisign-grs.com/plug-in/support/index.jsp" [file not found]

{CE000996-A58C-4441-8938-744CD72AB27F}\
"MenuText" = "Optionen für i-Nav"
"CLSIDExtension" = "{CE000996-A58C-4441-8938-744CD72AB27F}"
-> {HKLM...CLSID} = "i-Nav Options"
\InProcServer32\(Default) = "C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll" ["VeriSign, Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{CE000994-A58C-4441-8938-744CD72AB27F}" = "ˆ*ƒ" (unwritable string)
-> {HKLM...CLSID} = "i-Nav IDN SearchHook"
\InProcServer32\(Default) = "C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll" ["VeriSign, Inc."]
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "ˆ*ƒ" (unwritable string)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "MGINavigationCanceled" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\NavigationCanceled.html" [null data]
<<H>> "MGIWelcome" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\W_Welcome.html" [null data]
<<H>> "MGIOfflineInformation" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\OfflineInformation.html" [null data]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
BServerDienst, BserverDienst, "C:\WINNT\BSERVER3.EXE" ["Brainstorm Informatik GmbH"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"]
VeriSign Updater, navi, "C:\Programme\VeriSign\NAVI\naviagent.exe uimode=agentupdate" ["VeriSign, Inc."]


Accessibility Tools:
--------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Narrator\
"Application Path" = (empty string) [file not found]
"Display Name" = "Narrator"
"Start with Utility Manager" = dword:0x00000001


Keyboard Driver Filters:
------------------------

HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "aw_host" [file not found], <<!>> "Lkbdflt2" ["Logitech"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
FRITZ!fax Port Monitor\Driver = "FritzPort.dll" ["AVM Berlin GmbH"]
pcAnywhere Remote Printing\Driver = "awmon.dll" ["Symantec Corporation"]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


---------- (launch time: 2008-03-16 12:26:24)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 47 seconds, including 5 seconds for message boxes)

#13 Hallo,

«
du benutzt den Utility Manager/Narrator bewusst ?

« was ist das ? Kennst du es ?
Amyuni Optionen.lnk

«
wende smitfraudfix an ~option 2 + poste den report
http://www.virus-protect.org/artikel/tools/smitfrautfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14

Zitat

Pinguin postete
Hallo,

«
du benutzt den Utility Manager/Narrator bewusst ?

« was ist das ? Kennst du es ?
Amyuni Optionen.lnk

«
wende smitfraudfix an ~option 2 + poste den report
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

Hallo Pinguin ... nein ... keine Ahnung ... nein ... bitte schön:


SmitFraudFix v2.305

Scan done at 15:38:43,58, So 16.03.2008
Run from C:\Dokumente und Einstellungen\Robert\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\BSERVER3.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\starter.exe
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\loadqm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINNT\twain_32\A4CIS600\WATCH.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\programme\internet explorer\iexplore.exe
C:\WINNT\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Robert


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Robert\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Robert\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/Dokumente%20und%20Einstellungen/Robert/Lokale%20Einstellungen/Temp/PKGA.JPG"
"SubscribedURL"="file:///C:/Dokumente%20und%20Einstellungen/Robert/Lokale%20Einstellungen/Temp/PKGA.JPG"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.gif"
"SubscribedURL"="file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.gif"
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOKUME~1/Robert/LOKALE~1/Temp/msoclip1/01/clip_image002.jpg"
"FriendlyName"=""

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com 3C90x Ethernet Adapter
DNS Server Search Order: 192.168.0.1

Description: FRITZ!web
DNS Server Search Order: 192.168.120.252
DNS Server Search Order: 192.168.120.253

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1DE6E620-BEFA-45DD-95F3-D94E28CCA0CC}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D2FB48DA-63F9-4165-90EA-17B97611AD7D}: NameServer=192.168.120.252,192.168.120.253
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1DE6E620-BEFA-45DD-95F3-D94E28CCA0CC}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D2FB48DA-63F9-4165-90EA-17B97611AD7D}: NameServer=192.168.120.252,192.168.120.253
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1DE6E620-BEFA-45DD-95F3-D94E28CCA0CC}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D2FB48DA-63F9-4165-90EA-17B97611AD7D}: NameServer=192.168.120.252,192.168.120.253
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#15 war das option 1 oder 2 ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/