Codec-Trojaner, nun Verweis auf SichererAntivirus

#1 Jo, moin, moin,

bin durch Neugier auf die Schnauze gefallen und habe mir irgend einen Trojaner gefangen.

Habe gegoogelt nach einem Forum für Agila (Opel) und auf ein Forum gestoßen (ich glaube W.ww.zimmerwolf.de). Da waren statt Agila Dinge Pornos drauf und ich wurde halt neugierig, bin auch nur ein Mann, geklickt und geklickt und dann wolte Activex Codec upgedated werden und .... Shice ich Depp.

Nun sagt mein IE ständig, ich hätte einen Virus und lenkt mich auch die Sichererantivirus Seite.

Könnt Ihr mir helfen, den Kram wieder los zu werden?

Mein Hijack sagt folgendes:

ogfile of HijackThis v1.99.1
Scan saved at 00:27:00, on 24.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\svchost.exe
C:\Programme\SFU\NFS\Mapper\mapsvc.exe
C:\WINNT\system32\nfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Timeserver\Automachron\achron.exe
C:\Programme\War-ftpd\WarTrayIcon.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule Applejuice\emule.exe -AutoStart
O4 - Startup: Automachron.lnk = C:\Programme\Timeserver\Automachron\achron.exe
O4 - Startup: War FTPD Tray icon.lnk = C:\Programme\War-ftpd\WarTrayIcon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1180552749768
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{104BE37D-4D8B-4EC0-A497-9CE12E3F6F6D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{104BE37D-4D8B-4EC0-A497-9CE12E3F6F6D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{104BE37D-4D8B-4EC0-A497-9CE12E3F6F6D}: NameServer = 192.168.0.1
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O21 - SSODL: vbgtorfd - {23466C06-FB08-4438-817F-072EB6FBBCA9} - C:\WINNT\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {E409734C-79D4-48BF-BDD3-9F9BAD362788} - C:\WINNT\dwnrpofk.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: WARSVR - Unknown owner - C:\Programme\War-ftpd\war-ftpd.exe" -tag WARSVR (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Und Combofix folgendes:

ComboFix 08-03-23.2 - Administrator 24.03.2008 0:07:58.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.537 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\dwnrpofk.dll
C:\WINNT\qvdntlmw.dll
C:\WINNT\rs.txt
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((((( Files Created from 2008-02-23 to 2008-03-23 )))))))))))))))))))))))))))))))
.

2008-03-23 21:23 . 08-03-23 21:24 <DIR> d-------- C:\WINNT\system32\ActiveScan
2008-03-23 21:23 . 08-03-23 21:31 30,590 --a------ C:\WINNT\system32\pavas.ico
2008-03-23 21:23 . 08-03-23 21:31 2,550 --a------ C:\WINNT\system32\Uninstall.ico
2008-03-23 21:23 . 08-03-23 21:31 1,406 --a------ C:\WINNT\system32\Help.ico
2008-03-23 19:41 . 08-03-23 19:41 691,545 --a------ C:\WINNT\unins000.exe
2008-03-23 19:41 . 08-03-23 19:41 2,555 --a------ C:\WINNT\unins000.dat
2008-03-23 16:26 . 08-03-23 09:04 233,472 --a------ C:\WINNT\vbgtorfd.dll
2008-03-23 16:26 . 08-03-23 09:04 98,304 --a------ C:\WINNT\norlatmx.exe
2008-03-23 16:23 . 08-03-23 16:23 50 --a------ C:\xmp.bat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-23 18:46 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-23 18:45 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-23 17:55 --------- d---a-w C:\Programme\eMule Applejuice
2008-03-16 18:06 --------- d-----w C:\Programme\Java
2008-01-26 10:39 --------- d---a-w C:\Programme\Audible
2006-09-04 10:38 271 ---h--w C:\Programme\desktop.ini
2006-09-04 10:38 22,080 ---h--w C:\Programme\folder.htt
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NFS Shell Icon Overlay Identifier]
@={04EA2470-913A-11D2-8CB8-0000F8083420}

[HKEY_CLASSES_ROOT\CLSID\{04EA2470-913A-11D2-8CB8-0000F8083420}]
03-11-08 14:42 61136 -ra------ C:\WINNT\system32\nfssprop.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 13:00 20752 C:\WINNT\system32\internat.exe]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-01-28 11:43 2097488]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]
"eMuleAutoStart"="C:\Programme\eMule Applejuice\emule.exe" [07-12-01 17:11 6250496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 11:05 112400 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [07-10-10 19:47 249896]
"NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [01-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [08-02-22 04:25 144784]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [05-06-23 20:33 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 13:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 11:05 189712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vbgtorfd"= {23466C06-FB08-4438-817F-072EB6FBBCA9} - C:\WINNT\vbgtorfd.dll [08-03-23 09:04 233472]
"dwnrpofk"= {E409734C-79D4-48BF-BDD3-9F9BAD362788} - C:\WINNT\dwnrpofk.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 03-05-29 10:00 8704 C:\WINNT\system32\PCANotify.dll

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [07-09-13 19:48 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [07-09-13 19:48 ]
R2 ioperm;ioperm support for Cygwin driver;C:\gbox\ioperm.sys [04-11-26 20:22 ]
R2 Mapsvc;User Name Mapping;C:\Programme\SFU\NFS\Mapper\mapsvc.exe [03-11-08 14:42 ]
R2 NfsSvc;Server for NFS;C:\WINNT\system32\nfssvc.exe [03-11-08 14:42 ]
R3 AVMCOWAN;AVMCOWAN;C:\WINNT\system32\DRIVERS\AVMCOWAN.sys [05-11-24 00:00 ]
R3 eeiim;ELSA ERAZOR II driver;C:\WINNT\system32\DRIVERS\eeiim.sys [00-07-17 17:08 ]
R3 fpcibase;FRITZ!Card PCI;C:\WINNT\system32\DRIVERS\fpcibase.sys [05-11-24 00:00 ]
R3 NfsSvr;NfsSvr;C:\WINNT\system32\drivers\nfssvr.sys [03-11-08 14:42 ]
R3 Portmap;Portmap;C:\WINNT\system32\drivers\portmap.sys [03-11-08 14:42 ]
R3 RpcXdr;RpcXdr;C:\WINNT\system32\drivers\rpcxdr.sys [03-11-08 14:42 ]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINNT\system32\DRIVERS\avmwan.sys [99-10-19 13:27 ]
S3 PortTalk;PortTalk;C:\WINNT\system32\Drivers\PortTalk.sys [02-01-12 16:30 ]
S3 WARSVR;WARSVR;"C:\Programme\War-ftpd\war-ftpd.exe" -tag WARSVR []

.
Contents of the 'Scheduled Tasks' folder
"2006-09-09 14:36:57 C:\WINNT\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 00:15:29
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINNT\explorer.exe
-> C:\WINNT\vbgtorfd.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Timeserver\Automachron\achron.exe
C:\Programme\War-ftpd\WarTrayIcon.exe
.
**************************************************************************
.
Completion time: 2008-03-24 0:18:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-23 23:18:12
.
2008-03-12 02:12:56 --- E O F ---


Mein Verdacht geht auf idese Dateien:

C:\WINNT\vbgtorfd.dll
C:\WINNT\dwnrpofk.dll

Aber ich weis nicht, wie ich den Kram komplett killen kann.

Ich bitte um Hilfe!!!

#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_CLASSES_ROOT\CLSID\{04EA2470-913A-11D2-8CB8-0000F8083420}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vbgtorfd"=-
"dwnrpofk"=-

File::
C:\WINNT\vbgtorfd.dll
C:\WINNT\norlatmx.exe
C:\xmp.bat

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden
PC neustarten
+
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Beim Start von Combofix hat er erstmal eine Fehlermeldung gezeigt:
Registrierungs Editor
"Import kann nicht importiert werden. Fehler beim Öffnen der Datei. Mögliche Ursache ist Datenträger- oder Dateisystem"


ComboFix 08-03-23.2 - Administrator 24.03.2008 9:48:38.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.619 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINNT\norlatmx.exe
C:\WINNT\vbgtorfd.dll
C:\xmp.bat
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\norlatmx.exe
C:\WINNT\vbgtorfd.dll
C:\xmp.bat

.
((((((((((((((((((((((((( Files Created from 2008-02-24 to 2008-03-24 )))))))))))))))))))))))))))))))
.

2008-03-24 09:53 . 16,384 C:\WINNT\system32\Perflib_Perfdata_d0.dat
2008-03-23 21:23 . 08-03-23 21:24 <DIR> d-------- C:\WINNT\system32\ActiveScan
2008-03-23 21:23 . 08-03-23 21:31 30,590 --a------ C:\WINNT\system32\pavas.ico
2008-03-23 21:23 . 08-03-23 21:31 2,550 --a------ C:\WINNT\system32\Uninstall.ico
2008-03-23 21:23 . 08-03-23 21:31 1,406 --a------ C:\WINNT\system32\Help.ico
2008-03-23 19:41 . 08-03-23 19:41 691,545 --a------ C:\WINNT\unins000.exe
2008-03-23 19:41 . 08-03-23 19:41 2,555 --a------ C:\WINNT\unins000.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-23 18:46 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-23 18:45 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-23 17:55 --------- d---a-w C:\Programme\eMule Applejuice
2008-03-16 18:06 --------- d-----w C:\Programme\Java
2008-01-26 10:39 --------- d---a-w C:\Programme\Audible
2006-09-04 10:38 271 ---h--w C:\Programme\desktop.ini
2006-09-04 10:38 22,080 ---h--w C:\Programme\folder.htt
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NFS Shell Icon Overlay Identifier]
@={04EA2470-913A-11D2-8CB8-0000F8083420}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 13:00 20752 C:\WINNT\system32\internat.exe]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-01-28 11:43 2097488]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]
"eMuleAutoStart"="C:\Programme\eMule Applejuice\emule.exe" [07-12-01 17:11 6250496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 11:05 112400 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [07-10-10 19:47 249896]
"NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [01-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [08-02-22 04:25 144784]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [05-06-23 20:33 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 13:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 11:05 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 03-05-29 10:00 8704 C:\WINNT\system32\PCANotify.dll

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [07-09-13 19:48 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [07-09-13 19:48 ]
R2 ioperm;ioperm support for Cygwin driver;C:\gbox\ioperm.sys [04-11-26 20:22 ]
R2 Mapsvc;User Name Mapping;C:\Programme\SFU\NFS\Mapper\mapsvc.exe [03-11-08 14:42 ]
R2 NfsSvc;Server for NFS;C:\WINNT\system32\nfssvc.exe [03-11-08 14:42 ]
R3 AVMCOWAN;AVMCOWAN;C:\WINNT\system32\DRIVERS\AVMCOWAN.sys [05-11-24 00:00 ]
R3 eeiim;ELSA ERAZOR II driver;C:\WINNT\system32\DRIVERS\eeiim.sys [00-07-17 17:08 ]
R3 fpcibase;FRITZ!Card PCI;C:\WINNT\system32\DRIVERS\fpcibase.sys [05-11-24 00:00 ]
R3 NfsSvr;NfsSvr;C:\WINNT\system32\drivers\nfssvr.sys [03-11-08 14:42 ]
R3 Portmap;Portmap;C:\WINNT\system32\drivers\portmap.sys [03-11-08 14:42 ]
R3 RpcXdr;RpcXdr;C:\WINNT\system32\drivers\rpcxdr.sys [03-11-08 14:42 ]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINNT\system32\DRIVERS\avmwan.sys [99-10-19 13:27 ]
S3 PortTalk;PortTalk;C:\WINNT\system32\Drivers\PortTalk.sys [02-01-12 16:30 ]
S3 WARSVR;WARSVR;"C:\Programme\War-ftpd\war-ftpd.exe" -tag WARSVR []

.
Contents of the 'Scheduled Tasks' folder
"2006-09-09 14:36:57 C:\WINNT\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 09:54:13
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\War-ftpd\WarTrayIcon.exe
.
**************************************************************************
.
Completion time: 2008-03-24 9:57:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-24 08:57:29
ComboFix2.txt 2008-03-23 23:18:19
.
2008-03-12 02:12:56 --- E O F ---

#4 Hallo Stecky2000
scanne , lasse alles entfernen, was gefunden wird + poste den report
http://www.virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Sieht schon besser aus oder?

alwarebytes' Anti-Malware 1.09
Datenbank Version: 528

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|F:\|L:\|M:\|)
Objekte gescannt: 78687
Scan Dauer: 20 minute(s), 1 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{48d78be5-cfb9-4b66-9ac4-96d4cf21de06} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{74d46bba-5638-473a-83b6-97e7804a7411} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{73ee9610-ad41-4f65-8a9a-c283f6a652f3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9b36848-a808-469f-b8b5-2a2d3d541f87} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{13c5e854-911c-4d90-9fe3-8be6d093ca7f} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{99553917-bf6b-4cdc-8edf-3cd5aa1fdfb8} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d9be845e-e284-4f5f-8673-2165762e4f24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ausctv32a.video (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{d2a8552d-4340-413e-b94e-245827fbc269} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\ausctv32a.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ausctv32a.Video (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

#6 «
schon viel besser

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

regedit /e Info.txt "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NFS Shell Icon Overlay Identifier"

- Speichern als: test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NFS Shell Icon Overlay Identifier]
@="{04EA2470-913A-11D2-8CB8-0000F8083420}"

#8 lade Look2Me-Destroyer.exe, wende nur OPTION 1 an + poste den report

http://www.virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Das funktioniert bei mir nicht.

Wenn ich das Teil starte, kann ich nichts aktivieren, die zwei Buttons "Scan for L2M" und "Remove L2M" sind in Geisterschrift. Ich muss dann wohl "Run this program as task" aktivieren. Dann sagt er, dass er den Task Scheduler aktivieren würde und das L2M geschlossen und in 1 Minute geöffnet wird und das wars auch schon.

#10 Hallo,

dann lass es erst mal so... lösche das Proggie wieder.
dieser Eintrag: [NFS Shell Icon Overlay Identifier] gefällt mir nicht, aber ich will auch nichts in der Registry verändern, ohne sicher zu sein.

««
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

wir verbleiben erst mal so,
wenn es noch Probleme geben sollte, melde dich..feine Ostern für dich.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ja dann danke ich Dir recht herzlich.

Fröhliche Ostern auch für Dich.