Home » Viren, Trojaner & Malware Forum » ich glaub auf dem lalptop eines fam.mitgliedes ist der swissor » Themenansicht

ich glaub auf dem lalptop eines fam.mitgliedes ist der swissor
#0
20.03.2008, 19:05
xyAnjaxy
Member

Beiträge: 16
#1 hier das logfile. könnt ihr jmir helfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:31, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\twatdog.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [TridentWatchDog] twatdog.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O21 - SSODL: bokpkov - {C23DB16E-4E3A-4070-8D66-39BFD629B210} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {B5FB097E-2FD1-4E7B-BFF6-CEE56597D9A0} - C:\WINDOWS\altvxvm.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4573 bytes
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.
Seitenanfang Seitenende
20.03.2008, 19:11
Swisstreasure
Moderator

Beiträge: 5694
#2 1.
Arbeite bitte die Positionen 1+2 ab und poste die entsprechenden Reporte: http://board.protecus.de/t23188.htm

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


3.
Lade folgende Dateien bei www.virustotal.com/de hoch und poste das Ergebnis:
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\altvxvm.dll
Dieser Beitrag wurde am 20.03.2008 um 19:18 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
20.03.2008, 21:11
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O21 - SSODL: bokpkov - {C23DB16E-4E3A-4070-8D66-39BFD629B210} - C:\WINDOWS\bokpkov.dll

O21 - SSODL: altvxvm - {B5FB097E-2FD1-4E7B-BFF6-CEE56597D9A0} - C:\WINDOWS\altvxvm.dll
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

RVAXO
http://www.virus-protect.org/artikel/tools/rvaxo.html
Download: RVAXO by Smeenk,zum Desktop RVAXO.zip entpacken
Starte dein Recher in
abgesicherten Modus

Öffne die Datei RVAXO und doppelklick “RunMe.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd
__________
MfG Argus
Seitenanfang Seitenende
21.03.2008, 19:34
xyAnjaxy
Member

Themenstarter

Beiträge: 16
#4 arnold, ich finde den tea timer nicht - advanced mode darauf soll ich klicken,<aber wo ist das ? ich finde es nicht bei Spybot!
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.
Seitenanfang Seitenende
21.03.2008, 20:32
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Schau dir mal das Bild an

Anhang: spybot_1.jpg

__________
MfG Argus
Seitenanfang Seitenende
21.03.2008, 21:17
xyAnjaxy
Member

Themenstarter

Beiträge: 16
#6 ---RVAXO.exe Updated: 2008-03-20---first run---
Uninstallers:

Files found:
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\altvxvm.dll
C:\WINDOWS\fmsxwqs.exe
C:\Dokumente und Einstellungen\User\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\User\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\User\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\User\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\User\FAVORI~1\Spyware&Malware Protection.url

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------
Soweit bin ich gekommen
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.
Seitenanfang Seitenende
21.03.2008, 21:44
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
21.03.2008, 22:10
xyAnjaxy
Member

Themenstarter

Beiträge: 16
#8 hier das log von combo fix:

ComboFix 08-03-21.1 - User 2008-03-21 22:01:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.248 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((((( Files Created from 2008-02-21 to 2008-03-21 )))))))))))))))))))))))))))))))
.

2008-03-21 22:00 . 2008-03-21 22:00 3,631 --a------ C:\27.tmp
2008-03-21 21:13 . 2008-03-21 21:13 <DIR> d-------- C:\RVAXO
2008-03-21 21:10 . 2008-03-20 21:55 747,874 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-03-21 21:10 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-03-20 14:40 . 2008-03-20 14:40 <DIR> d-------- C:\Programme\Trend Micro
2008-03-17 23:12 . 2008-03-17 23:12 85 --a------ C:\WINDOWS\wininit.ini
2008-03-17 22:26 . 2008-03-17 22:27 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-17 22:26 . 2008-03-17 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-17 19:27 . 2008-03-17 19:31 <DIR> d-------- C:\Programme\SichererAntivirus
2008-03-17 19:27 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-03-17 19:27 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-03-17 19:27 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-03-17 19:26 . 2008-03-17 19:26 251,920 --a------ C:\Dokumente und Einstellungen\User\Anwendungsdaten\install_de[1].exe
2008-03-17 14:34 . 2008-03-17 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\ArcSoft
2008-03-17 14:33 . 2006-04-28 18:46 65,536 --a------ C:\WINDOWS\system32\PhotoImpression Slideshow.scr
2008-03-17 14:33 . 2005-02-23 14:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys
2008-03-17 14:32 . 2008-03-17 14:34 <DIR> d-------- C:\WINDOWS\system32\PhotoImpression Slideshow
2008-03-17 14:32 . 2008-03-17 14:32 <DIR> d-------- C:\Programme\Hama
2008-03-17 14:32 . 2008-03-17 14:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-03-17 14:32 . 2004-05-04 11:53 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-03-17 14:32 . 2003-03-18 22:14 499,712 -ra------ C:\WINDOWS\system32\msvcp71.dll
2008-03-17 14:32 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-03-17 14:32 . 2005-06-21 10:29 245,408 --a------ C:\WINDOWS\system32\unicows.dll
2008-03-17 14:32 . 1995-07-31 13:44 212,480 --a------ C:\WINDOWS\system32\PCDLIB32.DLL
2008-03-17 14:29 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-03-17 14:29 . 2004-08-04 00:58 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-03-17 14:29 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-03-17 14:29 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-03-17 14:29 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-03-17 14:29 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-03-17 14:29 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-03-17 14:29 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-03-17 14:27 . 2008-03-17 14:27 <DIR> d-------- C:\WINDOWS\USB Vedio Camera
2008-03-17 14:27 . 2008-03-17 14:27 <DIR> d-------- C:\Programme\Hama Webcam
2008-03-16 12:56 . 2008-03-16 12:59 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DivX
2008-03-16 12:55 . 2008-03-16 12:55 <DIR> d-------- C:\Programme\DivX
2008-03-01 19:03 . 2008-03-02 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ashampoo
2008-03-01 19:02 . 2008-03-01 19:02 <DIR> d-------- C:\WINDOWS\system32\ebay
2008-03-01 19:02 . 2008-03-01 19:02 <DIR> d-------- C:\Programme\Ashampoo
2008-03-01 19:02 . 2008-03-01 19:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-02-21 03:11 . 2008-02-21 03:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 03:05 . 2008-02-21 03:05 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 03:05 . 2008-02-21 03:05 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-02-21 03:05 . 2008-02-21 03:05 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2008-02-21 03:05 . 2008-02-21 03:05 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-02-21 03:03 . 2008-02-21 03:03 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-02-21 03:03 . 2008-02-21 03:03 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax
2008-02-21 03:03 . 2008-02-21 03:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 03:03 . 2008-02-21 03:03 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-21 03:03 . 2008-02-21 03:03 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 18:45 --------- d-----w C:\Programme\ICQToolbar
2008-03-17 18:53 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\ICQ Toolbar
2008-03-17 18:25 --------- d-----w C:\Programme\AskTBar
2008-03-17 13:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-07 17:30 --------- d-----w C:\Programme\Java
2008-02-25 18:30 --------- d-----w C:\Programme\ICQ6
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-02-17 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-02-14 20:16 --------- d-----w C:\Programme\No23 Recorder
2008-02-07 19:48 --------- d-----w C:\Programme\vghd
2008-02-07 19:45 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\vghd
2008-02-04 18:34 --------- d-----w C:\Programme\Philips
2008-02-04 18:32 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\InstallShield
2008-02-04 18:20 --------- d-----w C:\Programme\MSXML 4.0
2008-01-31 19:19 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Nero
2008-01-29 18:31 --------- d-----w C:\Programme\Windows Media Connect 2
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegServer"="regserve.exe" [2003-07-30 21:11 24576 C:\WINDOWS\system32\RegServe.exe]
"TridentWatchDog"="twatdog.exe" [2003-07-30 21:14 53248 C:\WINDOWS\system32\TWatDog.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-12-25 14:38 159744]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-29 15:03 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"BTUSRBDG"="BtUsrBdg.exe" [2003-11-05 22:21 53248 C:\WINDOWS\system32\BtUsrBdg.exe]
"BTSETBOOTKEY"="BTSetBootKey.exe" [2003-04-15 10:48 36864 C:\WINDOWS\system32\BTSetBootKey.exe]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-11-04 16:05]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 09:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 11:46]
R3 BTCOMM;BTCOMM;C:\WINDOWS\system32\drivers\Btcomm.sys [2004-09-28 16:19]
R3 BTKRNBDG;Bluetooth COM Bridge;C:\WINDOWS\system32\DRIVERS\btkrnbdg.sys [2003-03-18 11:31]
R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-09-17 17:12]
R3 tridxp4;tridxp4;C:\WINDOWS\system32\DRIVERS\tridxp4m.sys [2003-11-10 22:32]
R3 vad_multi;Windigo Virtual Audio Device (WDM);C:\WINDOWS\system32\drivers\vadmulti.sys [2003-11-05 11:53]
S3 5279edb8-888e-4656-9ee1-53c65ffbba03;5279edb8-888e-4656-9ee1-53c65ffbba03;D:\Player\cds300.dll []
S3 CAM1210;HAMA PC-WEBCAM AC-130;C:\WINDOWS\system32\Drivers\cam1210.sys [2007-08-30 10:49]
S3 CSRBC01;%CSRBC01.SvcDesc%;C:\WINDOWS\system32\Drivers\csrbc01.sys [2003-10-29 19:52]
S3 tridxp;tridxp;C:\WINDOWS\system32\DRIVERS\tridxpm.sys [2001-08-17 12:51]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 22:06:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-03-21 22:08:28 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-21 21:08:26
.
2008-03-12 18:05:25 --- E O F ---

und hier das log von hijack this

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:20, on 21.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\twatdog.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [TridentWatchDog] twatdog.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4724 bytes







Bis morgen!
Gute Nacht, ich geh jetzt ins Bett.

Anja
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.
Dieser Beitrag wurde am 21.03.2008 um 22:47 Uhr von xyAnjaxy editiert.
Seitenanfang Seitenende
22.03.2008, 00:00
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 Hallo xyAnjaxy ;)

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
«
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

«
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\Programme\SichererAntivirus
C:\WINDOWS\wininit.ini
C:\Dokumente und Einstellungen\User\Anwendungsdaten\install_de[1].exe
Klicke auf den Roten MoveIt!
poste hier das Löschlog, was erscheint
+
das neue Log von HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
22.03.2008, 11:09
xyAnjaxy
Member

Themenstarter

Beiträge: 16
#10 pinguin ich habe das Zitat in das fenster einkopiert und das kam raus:

C:\Programme\SichererAntivirus moved successfully.
C:\WINDOWS\wininit.ini moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\install_de[1].exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03222008_110532

hier noch das neue Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:00, on 22.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\twatdog.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [TridentWatchDog] twatdog.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4211 bytes


bitte bitte ich hoffe das wars und ihr sagt mir,<das der pc nun wieder rein ist.

LG und schöne Feiertage
Anja
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.
Seitenanfang Seitenende
22.03.2008, 11:34
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 Hallo ;)

«
otmoveIt
klicken: CleanUp! button

«
dann mache einen Onlinescan mit ewido + poste den Report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
23.03.2008, 10:44
xyAnjaxy
Member

Themenstarter

Beiträge: 16
#12 Guten Morgen allerseits,

im Moment kann ich keinen Onlinscan machen, da der Freund meiner Tochter mit seinen Laptop nach Hause gefahren ist. Ich habe ComboFix über "Ausführen" entfernt und werde den CleanUp am nächsten WE machen. Lt. Freund der Tochter, läuft der PC im Moment einwandfrei.

Dank erstmal an euch und schöne Feiertage!

Anja
__________
Wenn das Leben dir eine Zitrone gibt, mach Limonade draus.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1