UltimateCleaner

#0
22.03.2008, 10:04
Member

Beiträge: 24
#1 Guten Morgen

seit einigen Tagen nervt mich der UltimateCleaner und diverse andere Icons auf dem Desktop.
Wie kann ich dies wieder entfernen?

Mit freundlichen Grüssen


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:53:54, on 22.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\HENGEM~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: etlrlws - {1768A0BA-4F4C-4231-B6D3-86E95C8F15B5} - C:\WINDOWS\etlrlws.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://geodaten.bsb-partner.ch/oensingen/acgm/acgm.cab
O21 - SSODL: bokpkov - {F126BE64-26A9-4D83-B23B-E906E7CBFD2C} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {819D93B4-77C2-4566-8484-63F37F321E4C} - C:\WINDOWS\altvxvm.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O24 - Desktop Component 0: Privacy Protection - f///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 7855 bytes


Adobe Acrobat - Reader 6.0.2 Update
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Illustrator 10
Adobe Photoshop 7.0
Adobe Reader 6.0.1 - Deutsch
Adobe SVG Viewer 3.0
AFPL Ghostscript 8.14
AFPL Ghostscript Fonts
AnswerWorks Runtime
ATI Display Driver
ATI Systemsteuerung
AutoCAD 2002 - Deutsch
AutoCAD 2006 - English
Autodesk DWF Viewer
Avira AntiVir PersonalEdition Classic
BroadJump Client Foundation
CCleaner (remove only)
C-Dilla Licence Management System
CleanUp!
Dell Driver Reset Tool
Dell Media Experience
Dell Media Experience Update
ewido anti-malware
F+L STATIK
FreePDF 2.11
FreePDF XP (Remove only)
GdiplusUpgrade
Google Earth
Google Toolbar for Internet Explorer
HASP HL Device Driver
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Media Player 11 (KB939683)
HP Image Zone 4.2
HP PSC & OfficeJet 4.2
HP Update
IKEA HomePlanner Kitchen
IKEA HomePlanner Kitchen
IKEA HomePlanner Kitchen
Intel(R) PRO Network Connections Drivers
Intel(R) PROSet for Wired Connections
IrfanView (remove only)
Java 2 Runtime Environment, SE v1.4.2_03
TI Connect 1.6
USB Driver
Windows Installer 3.1 (KB893803)
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Yahoo! Fotos Easy Upload Tool
Yahoo! Toolbar


.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS\system32

22.03.2008 09:30 2'206 wpa.dbl
05.03.2008 17:30 19'148'408 MRT.exe
27.01.2008 20:21 387'178 TZLog.log
07.12.2007 15:36 3'080'192 mshtml.dll
07.12.2007 02:06 665'088 wininet.dll
07.12.2007 02:06 617'472 urlmon.dll
07.12.2007 02:06 474'624 shlwapi.dll
07.12.2007 02:06 1'494'528 shdocvw.dll
07.12.2007 02:06 532'480 mstime.dll
07.12.2007 02:06 39'424 pngfilt.dll
07.12.2007 02:06 449'024 mshtmled.dll
07.12.2007 02:06 146'432 msrating.dll
07.12.2007 02:06 96'768 inseng.dll
07.12.2007 02:06 251'392 iepeers.dll
07.12.2007 02:06 55'808 extmgr.dll
07.12.2007 02:06 357'888 dxtmsft.dll
07.12.2007 02:06 205'312 dxtrans.dll
07.12.2007 02:06 16'384 jsproxy.dll
07.12.2007 02:06 1'023'488 browseui.dll
07.12.2007 02:06 152'064 cdfview.dll
07.12.2007 02:06 1'056'256 danim.dll
07.12.2007 00:40 373'760 xpsp3res.dll
04.12.2007 19:40 550'912 oleaut32.dll
14.11.2007 08:26 450'560 jscript.dll
13.11.2007 12:31 60'416 tzchange.exe
07.11.2007 10:27 729'600 lsasrv.dll
29.10.2007 23:42 1'293'312 quartz.dll
28.10.2007 10:13 384'596 perfh009.dat
28.10.2007 10:13 396'012 perfh007.dat
28.10.2007 10:13 54'280 perfc009.dat
28.10.2007 10:13 65'470 perfc007.dat
28.10.2007 10:13 911'074 PerfStringBackup.INI
25.10.2007 17:55 8'495'616 shell32.dll
25.10.2007 09:28 222'720 wmasf.dll

-
Seitenanfang Seitenende
22.03.2008, 11:41
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo chriesi

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O3 - Toolbar: etlrlws - {1768A0BA-4F4C-4231-B6D3-86E95C8F15B5} - C:\WINDOWS\etlrlws.dll

O21 - SSODL: bokpkov - {F126BE64-26A9-4D83-B23B-E906E7CBFD2C} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {819D93B4-77C2-4566-8484-63F37F321E4C} - C:\WINDOWS\altvxvm.dll

O24 - Desktop Component 0: Privacy Protection - filC:\WINDOWS\privacy_danger\index.html
««
wende rvaxo an
http://www.virus-protect.org/artikel/tools/rvaxo.html

poste hier den report

««
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

««
http://www.virus-protect.org/artikel/tools/combofix.html
wende bitte CCL eaner und Combofix an + poste hier den Report von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
22.03.2008, 12:11
Member

Themenstarter

Beiträge: 24
#3 Hallo Pinguin

rvaxo habe ich nicht ausführen können. Es hat sich jeweils mein Anitvir Programm gemeldet.

Den Rest konnte ich machen.

ComboFix 08-03-21.2 - Hengemühl 2008-03-22 12:06:46.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.666 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hengemühl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BF1FF50W\ComboFix[1].exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-22 bis 2008-03-22 ))))))))))))))))))))))))))))))
.

2008-03-19 20:36 . 2008-03-19 17:43 241,664 --a------ C:\WINDOWS\altvxvm.dll
2008-03-19 20:36 . 2008-03-19 17:43 221,184 --a------ C:\WINDOWS\bokpkov.dll
2008-03-19 20:36 . 2008-03-19 17:43 172,032 --a------ C:\WINDOWS\etlrlws.dll
2008-03-19 20:36 . 2008-03-19 17:43 98,304 --a------ C:\WINDOWS\fmsxwqs.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 20:52 --------- d-----w C:\Programme\CyberLink
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48 32881]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-23 00:20 339968 C:\WINDOWS\stsystra.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05 344064]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 01:01 86016]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 01:05 127035]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"BJCFD"="C:\Programme\BroadJump\Client Foundation\CFD.exe" [2002-12-16 19:26 376912]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54 241664]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [2003-12-24 16:35 150528]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-12-08 22:56 180269]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 09:50 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-29 18:02 282624]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27 312320]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2006-04-06 10:51 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-17 20:40:23 110592]
AutoCAD Startup Accelerator.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2007-04-12 19:06:13 10872]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 22:31:38 241664]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-28 23:06:36 53248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bokpkov"= {44179E46-C035-45D1-8CE8-995C78288A78} - C:\WINDOWS\bokpkov.dll [2008-03-19 17:43 221184]
"altvxvm"= {9E495BC8-F270-4AD7-AED2-34EF346F86A2} - C:\WINDOWS\altvxvm.dll [2008-03-19 17:43 241664]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE"=
"C:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-09 09:23]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-09 09:23]
R1 ewido security suite driver;ewido security suite driver;C:\Programme\ewido anti-malware\guard.sys [2005-12-30 12:12]
S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2001-07-09 00:12]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 12:08:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\bokpkov.dll
-> C:\WINDOWS\altvxvm.dll
.
Zeit der Fertigstellung: 2008-03-22 12:09:11
ComboFix-quarantined-files.txt 2008-03-22 11:09:09
ComboFix2.txt 2008-03-22 08:47:04
ComboFix3.txt 2006-10-13 22:33:24
.
2008-03-12 21:55:08 --- E O F ---
Seitenanfang Seitenende
22.03.2008, 12:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

1.
gehe in die Registry
Start - Ausführen - regedit

klicke dich durch zum Schlüssel:

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern


2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bokpkov"=-
"altvxvm"=-

File::
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\altvxvm.dll


Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden
PC neustarten

«»
poste hier das neue Log von Combofix
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2008, 13:35
Member

Themenstarter

Beiträge: 24
#5 ComboFix 08-03-21.2 - Hengemühl 2008-03-22 13:31:26.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.644 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hengemühl\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-22 bis 2008-03-22 ))))))))))))))))))))))))))))))
.

2008-03-19 20:36 . 2008-03-19 17:43 241,664 --a------ C:\WINDOWS\altvxvm.dll
2008-03-19 20:36 . 2008-03-19 17:43 221,184 --a------ C:\WINDOWS\bokpkov.dll
2008-03-19 20:36 . 2008-03-19 17:43 172,032 --a------ C:\WINDOWS\etlrlws.dll
2008-03-19 20:36 . 2008-03-19 17:43 98,304 --a------ C:\WINDOWS\fmsxwqs.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 20:52 --------- d-----w C:\Programme\CyberLink
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48 32881]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-23 00:20 339968 C:\WINDOWS\stsystra.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05 344064]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 01:01 86016]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 01:05 127035]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"BJCFD"="C:\Programme\BroadJump\Client Foundation\CFD.exe" [2002-12-16 19:26 376912]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54 241664]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [2003-12-24 16:35 150528]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-12-08 22:56 180269]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 09:50 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-29 18:02 282624]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27 312320]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2006-04-06 10:51 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-17 20:40:23 110592]
AutoCAD Startup Accelerator.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2007-04-12 19:06:13 10872]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 22:31:38 241664]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-28 23:06:36 53248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bokpkov"= {44179E46-C035-45D1-8CE8-995C78288A78} - C:\WINDOWS\bokpkov.dll [2008-03-19 17:43 221184]
"altvxvm"= {9E495BC8-F270-4AD7-AED2-34EF346F86A2} - C:\WINDOWS\altvxvm.dll [2008-03-19 17:43 241664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE"=
"C:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-09 09:23]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-09 09:23]
R1 ewido security suite driver;ewido security suite driver;C:\Programme\ewido anti-malware\guard.sys [2005-12-30 12:12]
S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2001-07-09 00:12]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 13:33:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\bokpkov.dll
-> C:\WINDOWS\altvxvm.dll
.
Zeit der Fertigstellung: 2008-03-22 13:33:21
ComboFix-quarantined-files.txt 2008-03-22 12:33:19
ComboFix2.txt 2008-03-22 12:26:21
ComboFix3.txt 2008-03-22 12:17:48
ComboFix4.txt 2008-03-22 11:09:12
ComboFix5.txt 2008-03-22 08:47:04
.
2008-03-12 21:55:08 --- E O F ---



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:09, on 22.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\HENGEM~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://geodaten.bsb-partner.ch/oensingen/acgm/acgm.cab
O21 - SSODL: bokpkov - {44179E46-C035-45D1-8CE8-995C78288A78} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {9E495BC8-F270-4AD7-AED2-34EF346F86A2} - C:\WINDOWS\altvxvm.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7420 bytes
Seitenanfang Seitenende
22.03.2008, 13:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 du hast die txt-Datei nicht korrekt erstellt, sie muss unter "Alle Dateien" abgespeichert werden...siehe meine Bildchen.
also: alles noch mal von vorn, genau nach Anweisung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2008, 14:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 chriesi

««
wende smitfraudfix an ´option 2 - poste den report
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag

Zitat

O21 - SSODL: bokpkov - {44179E46-C035-45D1-8CE8-995C78288A78} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {9E495BC8-F270-4AD7-AED2-34EF346F86A2} - C:\WINDOWS\altvxvm.dll
und wähle fix checked. + starte den Rechner neu.

--------------------------------------------------------------------

««
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
scanne, lasse alles gefundene entfernen + post den report
http://www.virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2008, 17:21
Member

Themenstarter

Beiträge: 24
#8 SmitFraudFix v2.307

Scan done at 16:42:06.82, 22.03.2008
Run from C:\Dokumente und Einstellungen\Hengemhl\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\bokpkov.dll deleted.
C:\WINDOWS\altvxvm.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: USB Cable Modem 351000 - Paketplaner-Miniport
DNS Server Search Order: 62.2.17.61
DNS Server Search Order: 62.2.24.158
DNS Server Search Order: 62.2.17.60
DNS Server Search Order: 62.2.24.162

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3F67B642-FB9E-4683-B758-F5FBADFB2485}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3F67B642-FB9E-4683-B758-F5FBADFB2485}: DhcpNameServer=62.2.17.60 62.2.24.158 62.2.17.61 62.2.24.162
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3F67B642-FB9E-4683-B758-F5FBADFB2485}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3F67B642-FB9E-4683-B758-F5FBADFB2485}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.158 62.2.17.61 62.2.24.162
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End








Malwarebytes' Anti-Malware 1.09
Datenbank Version: 521

Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|H:\|)
Objekte gescannt: 97734
Scan Dauer: 23 minute(s), 30 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\clientax.requiredcomponent (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.requiredcomponent.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0ac49246-419b-4ee0-8917-8818daad6a4e} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2b0eceac-f597-4858-a542-d966b49055b9} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{031cbf6a-c70e-4177-a0d4-c5268ee311fb} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6c092742-10fe-4db2-988d-fc71948de70c} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7fa8976f-d00c-4e98-8729-a66569233fb5} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bdddf1a5-51a9-4f51-b38d-4cd0ad831b31} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ddea2e1d-8555-45e5-af09-ec9aa4ea27ad} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f1f1e775-1b21-454d-8d38-7c16519969e5} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5b6689b5-c2d4-4dc7-bfd1-24ac17e5fcda} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.clientinstaller (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\clientax.clientinstaller.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{99410cde-6f16-42ce-9d49-3807f78f0287} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\lmgr180.wmdrmax (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\lmgr180.wmdrmax.1 (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1768a0ba-4f4c-4231-b6d3-86e95c8f15b5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.bvpq (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.ToolBar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\fmsxwqs.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\etlrlws.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
22.03.2008, 17:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo,

lade Combofix neu + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2008, 19:40
Member

Themenstarter

Beiträge: 24
#10 ComboFix 08-03-22.1 - Hengemühl 2008-03-22 19:23:38.9 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.623 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hengemühl\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-22 bis 2008-03-22 ))))))))))))))))))))))))))))))
.

2008-03-22 16:52 . 2008-03-22 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Hengemühl\Anwendungsdaten\Malwarebytes
2008-03-22 16:51 . 2008-03-22 16:52 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-22 16:51 . 2008-03-22 16:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-22 16:42 . 2008-03-22 16:42 3,412 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-22 16:41 . 2008-03-22 16:41 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-22 16:41 . 2008-03-22 16:41 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-22 16:41 . 2008-03-22 16:41 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-22 16:41 . 2008-03-22 16:41 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-22 16:41 . 2008-03-22 16:41 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-22 16:41 . 2008-03-22 16:41 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-22 16:41 . 2008-03-22 16:41 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-22 16:07 . 2008-03-22 16:08 <DIR> d-------- C:\Programme\Simplyzip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 20:52 --------- d-----w C:\Programme\CyberLink
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48 32881]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-23 00:20 339968 C:\WINDOWS\stsystra.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05 344064]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 01:01 86016]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 01:05 127035]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"BJCFD"="C:\Programme\BroadJump\Client Foundation\CFD.exe" [2002-12-16 19:26 376912]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54 241664]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [2003-12-24 16:35 150528]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-12-08 22:56 180269]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 09:50 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-29 18:02 282624]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27 312320]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2006-04-06 10:51 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-17 20:40:23 110592]
AutoCAD Startup Accelerator.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2007-04-12 19:06:13 10872]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 22:31:38 241664]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-28 23:06:36 53248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE"=
"C:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-09 09:23]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-09 09:23]
R1 ewido security suite driver;ewido security suite driver;C:\Programme\ewido anti-malware\guard.sys [2005-12-30 12:12]
S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2001-07-09 00:12]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 19:25:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-22 19:25:59
ComboFix-quarantined-files.txt 2008-03-22 18:25:56
ComboFix2.txt 2008-03-22 13:05:49
.
2008-03-12 21:55:08 --- E O F ---
Seitenanfang Seitenende
22.03.2008, 19:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo,

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

-
es ist alles wieder o.k. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2008, 20:23
Member

Themenstarter

Beiträge: 24
#12 Vielen Dank

Wünsch dir frohe Ostern
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: