Lästige Popups, Verdacht auf Trojaner

#1 Hallo Profis,

brauch mal eure Hilfe, hab den Verdacht, dass ich mir irgendwie nen Trojaner oder so was eingefangen hab. Aber dazu später mehr.

1. Temporäre Dateien mit TuneUp Utilities 2008 geleert.
2. ComboFix-Log:

ComboFix 08-03-24.1 - Ricky 2008-03-24 23:38:44.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Ricky.VALLON-R\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
/wow section - STAGE 41
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Findstr -MIF:/ "\\TTC\.pdb InsertAdvertisement"
GREP -i "C:\\Programme\\[^\\]*\\[^\\]*$"
VFind -tf -s282624 "C:\Programme\????????*[0-9].dll"
CF23596.exe /c cscript.exe //nologo //b //t:10 localdrive.vbs
cscript.exe //nologo //b //t:10 localdrive.vbs


((((((((((((((((((((((( Dateien erstellt von 2008-02-24 bis 2008-03-24 ))))))))))))))))))))))))))))))
.

2008-03-24 22:39 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-24 22:38 . 2008-03-24 22:38 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-24 15:33 . 2008-03-24 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Yahoo!
2008-03-24 15:29 . 2008-03-24 15:29 <DIR> d-------- C:\Programme\Yahoo!
2008-03-22 01:41 . 2008-03-22 01:41 <DIR> d-------- C:\fsaua.data
2008-03-21 21:24 . 2008-03-21 21:24 <DIR> d-------- C:\Programme\Sophos
2008-03-21 21:17 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-21 21:17 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-21 21:17 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-21 21:17 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-21 21:17 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-21 21:17 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-21 21:16 . 2008-03-21 21:16 <DIR> d-------- C:\Programme\Alwil Software
2008-03-21 21:16 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-21 21:16 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-20 13:56 . 2008-03-20 13:56 <DIR> d-------- C:\Programme\Lavasoft
2008-03-20 13:56 . 2008-03-20 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft
2008-03-16 18:40 . 2008-03-16 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Ricky.VALLON-R\Contacts
2008-03-16 18:27 . 2008-03-16 18:35 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-16 18:26 . 2008-03-16 18:36 <DIR> d-------- C:\Programme\Windows Live
2008-03-16 18:26 . 2008-03-16 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\WLInstaller
2008-03-07 14:03 . 2008-03-07 14:03 625,032 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-03-07 14:03 . 2008-03-07 14:03 242,056 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-03-07 13:40 . 2008-03-07 13:40 13,035 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-03-07 13:40 . 2008-03-07 13:40 1,358 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-03-07 13:39 . 2008-03-07 13:39 191,536 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-03-07 13:39 . 2008-03-07 13:39 145,968 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-03-07 13:39 . 2008-03-07 13:39 39,984 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-03-07 13:39 . 2008-03-07 13:39 37,936 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-03-07 13:39 . 2008-03-07 13:39 35,120 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-03-07 13:39 . 2008-03-07 13:39 27,696 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-03-07 13:39 . 2008-03-07 13:39 12,848 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2008-02-29 04:35 . 2008-02-29 04:35 <DIR> d-------- C:\Programme\MDIConvertor
2008-02-29 04:35 . 2003-06-18 17:31 1,033,216 --a------ C:\WINDOWS\system32\MSPCORE.DLL
2008-02-29 04:35 . 2003-06-18 17:31 443,904 --a------ C:\WINDOWS\system32\MDIVWCTL.DLL
2008-02-29 04:35 . 2003-06-18 17:31 16,384 --a------ C:\WINDOWS\system32\MSPGIMME.DLL
2008-02-25 22:40 . 2008-02-26 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\OfficeUpdate12
2008-02-25 22:38 . 2008-02-25 22:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Office Genuine Advantage

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 22:20 --------- d-----w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\Skype
2008-03-24 22:10 --------- d-----w C:\Programme\SpeedFan
2008-03-24 21:41 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-03-24 21:28 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-03-24 16:21 --------- d-----w C:\Programme\PeerGuardian2
2008-03-24 15:13 --------- d-----w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\skypePM
2008-03-24 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-24 11:14 --------- d-----w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\uTorrent
2008-03-23 19:17 --------- d-----w C:\Programme\Java
2008-03-23 19:09 --------- d-----w C:\Programme\uTorrent
2008-03-21 23:54 --------- d-----w C:\Programme\Free Download Manager
2008-03-21 23:53 --------- d-----w C:\Programme\Free WMA to MP3 Converter
2008-03-20 12:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-17 12:38 --------- d-----w C:\Programme\SUPERAntiSpyware
2008-03-17 12:38 --------- d-----w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-08 10:25 583,920 -c--a-w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-02-23 12:52 --------- d-----w C:\Programme\Handbrake
2008-02-22 17:55 --------- d-----w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\DVD2AVI Ripper
2008-02-22 14:41 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SlySoft
2008-02-22 14:06 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DVD Shrink
2008-02-22 10:45 --------- d-----w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\Moyea
2008-02-21 23:59 --------- d-----w C:\Programme\Moyea
2008-02-21 19:33 --------- d-----w C:\Programme\ICQ6
2008-02-19 11:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-05 16:36 --------- d-----w C:\Programme\Windows Media Connect 2
2008-02-05 16:36 --------- d-----w C:\Programme\MoeoeoehXplorer
2008-02-05 16:35 --------- d-----w C:\Programme\res
2008-02-05 16:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-02-05 16:35 --------- d-----w C:\Programme\DivX
2008-02-01 09:08 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec
2008-01-28 03:40 --------- d-----w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\Apple Computer
2008-01-28 03:38 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-01-28 03:37 --------- d-----w C:\Programme\QuickTime
2007-11-21 14:31 32 ----a-w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ezsid.dat
2007-09-07 23:00 8 ----a-w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\VYAAUFMZPWQQ.SYS
2007-06-14 15:21 604 ---ha-w C:\Programme\STLL Notifier
2006-11-21 23:39 81,920 ----a-w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\ezpinst.exe
2006-11-21 23:39 47,360 -c--a-w C:\Dokumente und Einstellungen\Ricky.VALLON-R\Anwendungsdaten\pcouffin.sys
2003-11-18 11:37 241,664 ----a-w C:\Programme\npmusicn.dll
2007-09-10 12:12 6,275,816 ----a-w C:\Programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
2004-08-04 12:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 12:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

((((((((((((((((((((((((((((( snapshot@2008-03-24_22.47.33,89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-24 22:06:21 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_7d0.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27 312320]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 14:40 155648]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2006-09-05 18:22 26248]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22 517768]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-09-03 00:04 84640]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvts]
C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfebxx]
khfebxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32]
winzlo32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
--a------ 2006-09-03 00:04 84640 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
--a------ 2003-04-11 10:57 1276928 C:\Programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\icq.com]
C:\WINDOWS\system32\ffhrentv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PeerGuardian]
--a------ 2005-07-15 16:44 1401856 C:\Programme\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SC2]
C:\WINDOWS\system32\scchk32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-01 17:22 21898024 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
C:\Programme\SPYWAREfighter\spftray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-03-08 04:42 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
"PeerGuardian"=C:\Programme\PeerGuardian2\pg2.exe
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CXMon"="C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"Control Center"=C:\Programme\ASUS\WLAN Card Utilities\Center.exe
"InCD"=C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"RegisterDropHandler"=C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10441:TCP"= 10441:TCP:BitComet 10441 TCP
"10441:UDP"= 10441:UDP:BitComet 10441 UDP
"27194:TCP"= 27194:TCP:BitComet 27194 TCP
"27194:UDP"= 27194:UDP:BitComet 27194 UDP

R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-09-08 14:47]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 11:11]
S0 SMPLSCSI;SMPLSCSI;C:\WINDOWS\system32\drivers\SMPLSCSI.SYS []
S2 ONSIO;ONSIO;C:\WINDOWS\SYSTEM32\DRIVERS\ONSIO.SYS []
S3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 18:54]
S3 DrmRVideo32;DrmRVideo32;C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys [2007-07-18 15:17]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\11.tmp []
S3 P1Scanner;MUSTEK P1 Still Image Device Service;C:\WINDOWS\system32\drivers\usbscan.sys [2004-08-03 21:58]
S3 RDID1027;EDIROL PCR;C:\WINDOWS\system32\Drivers\rdwm1027.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-24 22:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adf57fa2-6dd5-11dc-9e24-00112fb65f45}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:57:35 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-03-21 21:40:04 C:\WINDOWS\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Ricky.job"
- C:\PROGRA~1\NORTON~1\Navw32.exet/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 23:44:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\11.tmp"
.
Zeit der Fertigstellung: 2008-03-24 23:48:32
ComboFix-quarantined-files.txt 2008-03-24 22:48:01
ComboFix2.txt 2008-03-24 21:48:19
.
2008-03-12 15:05:52 --- E O F ---

3. Hijackthis!-Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:59:49, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Norton AntiVirus\NAVW32.exe
C:\WINDOWS\system32\cscript.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\COH\coh32.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Dokumente und Einstellungen\Ricky.VALLON-R\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - (no file)
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &Yahoo! Search - file:///F:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///F:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///F:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///F:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140888859966
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153696906750
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\Software\..\Telephony: DomainName = Vallon
O17 - HKLM\System\CCS\Services\Tcpip\..\{169A94F2-B686-40FF-B8CA-5EAF534D7127}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{70B25BB4-45EE-4FA4-9646-B60609392DAA}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Vallon
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: awvts - C:\WINDOWS\system32\awvts.dll (file missing)
O20 - Winlogon Notify: khfebxx - khfebxx.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzlo32 - winzlo32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

4. datFind:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist C:
Volumeseriennummer: 2C03-DB39

Verzeichnis von C:\WINDOWS\system32

25.03.2008 00:07 13.646 wpa.dbl
24.03.2008 22:38 306.432 TuneUpDefragService.exe
23.03.2008 20:17 6.641 jupdate-1.6.0_05-b13.log
21.03.2008 21:17 3.002 CONFIG.NT
17.03.2008 15:58 584.312 GDIPFONTCACHEV1.DAT
07.03.2008 14:03 625.032 SymNeti.dll
07.03.2008 14:03 242.056 SymRedir.dll
05.03.2008 17:30 19.148.408 MRT.exe
28.02.2008 11:47 1.612.592 FNTCACHE.DAT
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe
05.02.2008 17:38 60.114 perfc009.dat
05.02.2008 17:38 397.894 perfh009.dat
05.02.2008 17:38 411.840 perfh007.dat
05.02.2008 17:38 72.886 perfc007.dat
05.02.2008 17:38 952.238 PerfStringBackup.INI
04.02.2008 18:23 693.792 OGACheckControl.DLL
29.01.2008 17:03 34.308 BASSMOD.dll
22.01.2008 17:01 124.688 MSWINSCK.OCX
11.01.2008 06:32 44.544 pngfilt.dll
10.01.2008 15:27 90.112 QuickTimeVR.qtx
10.01.2008 15:27 57.344 QuickTime.qts
20.12.2007 10:41 29.440 uxtuneup.dll



114 Datei(en) 17.239.685 Bytes
0 Verzeichnis(se), 15.656.488.960 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist C:
Volumeseriennummer: 2C03-DB39

Verzeichnis von C:\WINDOWS\temp

25.03.2008 00:08 409 WGANotify.settings
25.03.2008 00:06 16.384 Perflib_Perfdata_7d8.dat
25.03.2008 00:05 255 WGAErrLog.txt
3 Datei(en) 17.048 Bytes
0 Verzeichnis(se), 15.656.493.056 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist C:
Volumeseriennummer: 2C03-DB39

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.02.2008 16:00 262.144 fscax.dll
27.02.2008 15:59 290.816 auc_lib.dll
27.02.2008 15:59 541 ca.pub
27.02.2008 15:59 495.616 daas_s.dll
27.02.2008 15:59 614 fscax.inf
27.02.2008 15:59 588.392 gatelauncher.exe
04.02.2008 17:53 361 OGAControl.inf

5. Problembeschreibung:

Seit kurzer Zeit wechseln sich immer 3-4 verschiedene Seiten ab, die sich in einem neuen Fenster öffnen, wenn ich surfe. Ist dabei völlig egal, ob ich den IE oder Firefox benutze.

Folgende Seiten sind unter anderem dabei:
fp.pc-on-internet.com …
neuerschild.com/…
digon.de/…

Die drei konnt ich mir zumindest merken und bei einer google-Suche hab ich rausgefunden, dass wohl schon mehr Leute mit neuerschild.com Probleme haben.
Dabei öffnet sich ein neues Fenster und man wird gefragt, ob man neue Antispyware-Programme installieren möchte. Optionen sind entweder OK oder Abbrechen. Ich schließe immer über das rote x und dann öffnet sich eine neue Seite mit eben dieser neuerschild.com-Homepage. Ähnliches Spiel ist es mit den andern erwähnten Seiten.

Seit vorhin werde ich auch immer wieder gefragt, ob Firefox mein Standardbrowser werden soll… hatte ich eigentlich schon längst festgelegt.
Hoffe, ihr könnt mir helfen, kenn mich absolut nicht aus und bin für eine Schritt-für-Schritt-Lösung sehr dankbar!

Viele liebe Grüße und danke an euch schon mal,
Ricky d:o)

#2 Hallo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O20 - Winlogon Notify: awvts - C:\WINDOWS\system32\awvts.dll (file missing)

O20 - Winlogon Notify: khfebxx - khfebxx.dll (file missing)

O20 - Winlogon Notify: winzlo32 - winzlo32.dll (file missing)

2.
wende rvaxo an (Download zulassen,falls dein Virenscanner meckern sollte) + poste den report
http://www.virus-protect.org/artikel/tools/rvaxo.html

3.
scanne + poste den report
http://www.virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

vielen Dank für deine schnelle Antwort!!!

^^ 1. erledigt.
2. Scan-Ergebnis:
---RVAXO.exe Updated: 2008-03-24---first run---
Uninstallers:

Files found:

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------


und 3. ist auf dem Weg.

#4 3. Malwarebytes-Scan:

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 534

Scan Art: Komplett Scan (C:\|D:\|G:\|)
Objekte gescannt: 102986
Scan Dauer: 54 minute(s), 54 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 40

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Fonts\0007_20faces.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0081_08underground.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0108_friends.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0109_harrypotter.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0120_ringbearer.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0125_tengwarcursiv.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0126_tengwargandalf.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0130_waltdisney.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0141_burtonsnightmare.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0148_friday13th.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0207_birdsofprey.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0227_xfiles.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0266_18thcentury.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0278_bonjovi.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0307_episode1.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0353_snickers.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0540_aardvarkcafe.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0565_inhishands.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0800_unicorn.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0827_bonzai.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0888_wideawake.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0901_poobear.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\0975_federationclassic.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1034_starnext.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1199_emoticons.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1299_chinesetakeaway.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1360_bilbohand.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1371_delightfullildragons.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1388_krlilbuddies.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1389_krnickysdinos.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1430_hobbitonbrushhand.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1611_serpico.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1624_ankecalligraphic.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1800_applejuiced.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1860_apocalypsenow.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1916_harrypotterandthedingb.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1932_tristan.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\1964_krjunglescraps.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\amphibia.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\xfiles.zip (Trojan.Downloader) -> No action taken.


Äh... das meiste davon sind Schriftarten... die hab ich schon ewig... kann tatsächlich mit denen was nicht stimmen?

LG, Ricky d:o)

#5 die zip-Dateien solltest du löschen lassen, wahrscheinlich hast du die fonts von einer "unsicheren Seite" geladen, die damit Trojaner auf den Rechner schleusen.
Malwarebytes löscht, es gibt eine Funktion dafür.
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo Sabina,

dann werd ich das gleich mal in Angriff nehmen. Vielen Dank!!! Wenn ich die zips habe löschen lassen, soll ich dann auch den HKEY...whatever mitlöschen lassen oder besser nicht?

Viele liebe Grüße, Ricky d:o)

#7 na klar.. - Adware.MyWebSearch sollte man nicht auf dem rechner haben
mach dann noch einen Onlinescan mit Panda o.a. + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hab alles löschen lassen, hier Malwyrebytes Logfile dazu:

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 534

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 103256
Scan Dauer: 57 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 40

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Fonts\0007_20faces.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0081_08underground.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0108_friends.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0109_harrypotter.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0120_ringbearer.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0125_tengwarcursiv.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0126_tengwargandalf.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0130_waltdisney.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0141_burtonsnightmare.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0148_friday13th.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0207_birdsofprey.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0227_xfiles.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0266_18thcentury.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0278_bonjovi.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0307_episode1.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0353_snickers.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0540_aardvarkcafe.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0565_inhishands.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0800_unicorn.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0827_bonzai.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0888_wideawake.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0901_poobear.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\0975_federationclassic.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1034_starnext.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1199_emoticons.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1299_chinesetakeaway.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1360_bilbohand.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1371_delightfullildragons.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1388_krlilbuddies.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1389_krnickysdinos.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1430_hobbitonbrushhand.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1611_serpico.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1624_ankecalligraphic.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1800_applejuiced.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1860_apocalypsenow.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1916_harrypotterandthedingb.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1932_tristan.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\1964_krjunglescraps.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\amphibia.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\xfiles.zip (Trojan.Downloader) -> Quarantined and deleted successfully.

#9 fein
mach dann noch einen Onlinescan mit Panda o.a. + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hi, hab noch ein kleines Problem mit den Onlinescannern, aber ich arbeite dran...

Panda bringt ne Fehlermeldung (weiß aber net, wo ich Active X zulassen kann, falls es da dran hapert) und bei F-Secure friert mein Notebook ein, bzw. hat F.Secure zwischendurch nicht genügend Resourcen frei und bricht dann ab...

Versuchs jetzt noch mit bitdefender... irgendwas muss doch gehen...

LG und danke, Ricky

#11 Ok, Bitdefender hats gepackt:

Zitat

BitDefender Online Scanner


C:\Dokumente und Einstellungen\Ricky.VALLON-R\Eigene Dateien\ICQ\ICQ TOOLS\ICQ Status Checker.exe


Infected with: Trojan.Generic.92375

C:\Dokumente und Einstellungen\Ricky.VALLON-R\Eigene Dateien\ICQ\ICQ TOOLS\ICQ Status Checker.exe


Deleted

C:\System Volume Information\_restore{7323B3F7-B6EB-47EF-9AEC-8A343413689E}\RP60\A0145511.DLL


Detected with: Adware.Mywebsearch.A

C:\System Volume Information\_restore{7323B3F7-B6EB-47EF-9AEC-8A343413689E}\RP60\A0145511.DLL


Deleted

C:\System Volume Information\_restore{F37ABF73-51A0-4C87-909D-D1A928128EA2}\RP41\A0019827.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{F37ABF73-51A0-4C87-909D-D1A928128EA2}\RP41\A0019827.ini


Disinfection failed

C:\System Volume Information\_restore{F37ABF73-51A0-4C87-909D-D1A928128EA2}\RP41\A0019827.ini


Deleted

#12 Hallo

es ist alles wieder o.k.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Sabina, du bist einfach spitze!!!

Vielen lieben Dank für die schnelle und für einen n00b wie mich sehr gut erklärte Hilfe!!!

Was würd ich nur ohne euer Board machen???

Viele liebe Grüße und nochmals vielen lieben Dank!
Riky d:o)