Home » Spyware & Browser Hijacker Support Forum » Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4 5 6 7 Letzte Seite

Antworten

Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen?

Thema ist geschlossen!

31.07.2008, 11:14

stivler

...neu hier

Beiträge: 3

#46 Hallo zusammen,
ich hoffe ihr könnt mir auch helfen. Habe genau dasselbe Problem.

ComboFix:

ComboFix 08-07-30.01 - Julian 2008-07-31 11:02:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.230 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Julian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\RichVideoCodec
C:\WINDOWS\system32\blphcp7sj0ev39.scr
C:\WINDOWS\system32\lphcp7sj0ev39.exe
C:\WINDOWS\system32\phcp7sj0ev39.bmp
C:\WINDOWS\system32\richvideocodec.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-31 ))))))))))))))))))))))))))))))
.

2008-07-31 10:55 . 2008-07-31 10:55 <DIR> d-------- C:\Programme\CCleaner
2008-07-31 09:50 . 2008-07-31 10:49 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-31 09:50 . 2008-07-31 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\PC Tools
2008-07-31 09:50 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-31 09:50 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-31 09:50 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-31 09:50 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-31 09:48 . 2008-07-31 10:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-31 09:22 . 2008-07-31 11:00 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-30 15:36 . 2008-07-30 15:36 244 --ah----- C:\sqmnoopt13.sqm
2008-07-30 15:36 . 2008-07-30 15:36 232 --ah----- C:\sqmdata13.sqm
2008-07-13 21:16 . 2008-07-13 21:16 268 --ah----- C:\sqmdata12.sqm
2008-07-13 21:16 . 2008-07-13 21:16 244 --ah----- C:\sqmnoopt12.sqm
2008-06-28 15:45 . 2008-06-28 15:45 268 --ah----- C:\sqmdata11.sqm
2008-06-28 15:45 . 2008-06-28 15:45 244 --ah----- C:\sqmnoopt11.sqm
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-19 20:19 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-03 22:13 . 2008-06-03 22:13 <DIR> d-------- C:\Programme\Free MSN Emoticons Pack 4
2008-06-03 22:10 . 2008-06-03 22:10 <DIR> d-------- C:\Programme\Free MSN Emoticons Pack 3
2008-06-03 22:07 . 2008-06-03 22:07 <DIR> d-------- C:\Programme\Free MSN Emoticons Pack 2
2008-06-01 15:44 . 2008-06-01 15:44 268 --ah----- C:\sqmdata10.sqm
2008-06-01 15:44 . 2008-06-01 15:44 244 --ah----- C:\sqmnoopt10.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-31 08:53 --------- d-----w C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\OpenOffice.org2
2008-07-31 07:48 --------- d-----w C:\Programme\Google
2008-07-31 07:47 529,408 ----a-w C:\WINDOWS\Internet Logs\xDB41.tmp
2008-07-30 22:54 522,272 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-11 19:26 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-09 22:58 2,012,672 ----a-w C:\WINDOWS\Internet Logs\xDB40.tmp
2008-06-29 09:55 --------- d-----w C:\Programme\Windows Live Safety Center
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 20:04 --------- d-----w C:\Programme\Xvid
2008-06-03 20:04 --------- d-----w C:\Programme\Windows Media Connect 2
2008-06-03 20:04 --------- d-----w C:\Programme\Steam
2008-06-03 20:03 --------- d-----w C:\Programme\Microsoft Works
2008-06-03 20:03 --------- d-----w C:\Programme\DivX
2008-06-03 20:03 --------- d-----w C:\Programme\ANNO 1503
2008-05-14 22:28 1,911,296 ----a-w C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-05-14 11:21 1,909,248 ----a-w C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-05-12 20:43 1,897,984 ----a-w C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-05-12 15:37 1,897,472 ----a-w C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-05-08 22:14 31,232 ----a-w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-05-07 11:15 128,512 ----a-w C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 15:15 1,889,792 ----a-w C:\WINDOWS\Internet Logs\xDB39.tmp
2008-04-25 23:03 202,752 ----a-w C:\WINDOWS\Internet Logs\xDB37.tmp
2008-04-25 23:03 1,875,968 ----a-w C:\WINDOWS\Internet Logs\xDB38.tmp
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-20 22:03 47,104 ----a-w C:\WINDOWS\system32\KMVIDC32.DLL
2008-04-09 22:09 185,856 ----a-w C:\WINDOWS\Internet Logs\xDB36.tmp
2008-04-05 23:34 1,839,104 ----a-w C:\WINDOWS\Internet Logs\xDB35.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-31 00:18 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 21:16 286720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2002-11-23 03:15 631362]
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-05-20 21:21 90112]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 12:52 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-01-18 18:47 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-01-18 18:37 217088]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\Julian\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Erinnerungen fr Microsoft Works-Kalender.lnk - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [1999-08-06 17:53:00 53317]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-01-18 18:07 196608 C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-11 22:45 1266936 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys [2002-11-08 11:50]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 22:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 22:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2007-11-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-lphcp7sj0ev39 - C:\WINDOWS\system32\lphcp7sj0ev39.exe

.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Mozilla\Firefox\Profiles\6ov8stvt.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-31 11:05:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-31 11:06:19
ComboFix-quarantined-files.txt 2008-07-31 09:06:14

Pre-Run: 10 Verzeichnis(se), 94,374,551,552 Bytes frei
Post-Run: 13 Verzeichnis(se), 103,865,126,912 Bytes frei

153 --- E O F --- 2008-07-10 10:33:58

und das HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:10:53, on 31.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/photo/english/ICQDevilImg.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6172 bytes

MfG Julian

edith sagt:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 2

11:27:48 31.07.2008
mbam-log-7-31-2008 (11-27-48).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 37372
Laufzeit: 4 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\codecbho.codecplugin.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\codecbho.xmldomdocumenteventssink.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dieser Beitrag wurde am 31.07.2008 um 11:30 Uhr von stivler editiert.

31.07.2008, 12:54

Sabina

Ehrenmitglied

Beiträge: 29434

#47 Hallo stivler

combofix und malwarebytes haben schon alles rausgeholt, es ist nichts mehr zu tun.
Kommen noch popups ?
__________
MfG Sabina

rund um die PC-Sicherheit

31.07.2008, 12:58

stivler

...neu hier

Beiträge: 3

#48 also ich kann mittlerweile wieder den hintergrund ändern. nach jedem neustart ist der aber wieder weg und der hintergrund ist blau, ohne die warnung in der mitte...

31.07.2008, 13:11

Sabina

Ehrenmitglied

Beiträge: 29434

#49 Hallo stivler

wende smitfraudfix an , option 1 , poste hier den report
http://virus-protect.org/artikel/tools/smitfrautfix.html

der Hintergrund ist "MS-BLAU" , sollte aber nach Umstellung erhalten bleiben, hast du nach Umstellung abgespeichert ?
__________
MfG Sabina

rund um die PC-Sicherheit

31.07.2008, 13:22

stivler

...neu hier

Beiträge: 3

#50 Hallo Sabina,
ich denke schon gespeichert zu haben

SmitFraudFix v2.332

Scan done at 13:16:53,54, 31.07.2008
Run from C:\Dokumente und Einstellungen\Julian\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Julian

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Julian\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Julian\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce MCP Networking Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FBA74A20-66DF-4632-9D38-869D052BBA90}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FBA74A20-66DF-4632-9D38-869D052BBA90}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FBA74A20-66DF-4632-9D38-869D052BBA90}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FBA74A20-66DF-4632-9D38-869D052BBA90}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

So ich habe das Programm noch mit Option 2 durchlaufen lassen... nach dem Neustart war mein halber Hintergrund schwarz, der Rest normal... nach dem zweiten Neustart scheint jetzt Alles wieder in Ordnung zu sein.

Vielen Dank
MfG Julian

Dieser Beitrag wurde am 31.07.2008 um 13:40 Uhr von stivler editiert.

07.08.2008, 08:58

hsman

...neu hier

Beiträge: 10

#51 Hi Leute!
Ich habe genau das selbe problem mit dem blauen Hintergrund und dem Warnungsfenster!
Habe versucht Combofix zu starten, das funktioniert nicht, da antivir dann direkt viren meldet und wenn ich die zugriffe dieser viren dann alle verweigert habe, dann öffnet sich combofix nicht.
Ich versuche jetzt mal antivir abzuschalten und dann combofix zu starten, kann ja eigentlich nicht schlimmer werden, als es eh schon ist!
Wenn ich es dann geschafft habe, werde ich euch den report hierlassen und hoffen, dass ihr mir weiter helfen könnt!

Gruß hsman

07.08.2008, 09:10

Argus

Ehrenmitglied

Beiträge: 6028

#52 Scanne aber erst mit:
Malwarebytes Anti-Malware
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus

07.08.2008, 09:37

hsman

...neu hier

Beiträge: 10

#53 Sollte ich zonealarm und antivir abschalten?
Die machen bei jedem programm probleme und stören bei mbam den scan?!

07.08.2008, 09:45

Argus

Ehrenmitglied

Beiträge: 6028

#54 Weiss ich nicht,versuch es einfach MBAM zu installieren und scanne
__________
MfG Argus

07.08.2008, 09:50

hsman

...neu hier

Beiträge: 10

#55 Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2

09:51:12 2008-08-07
mbam-log-8-7-2008 (09-51-12).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44650
Laufzeit: 1 minute(s), 33 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 12
Infizierte Dateien: 12

Infizierte Speicherprozesse:
C:\Programme\rhctkbj0eefc\rhctkbj0eefc.exe (Rogue.Multiple) -> Unloaded process successfully.
C:\WINDOWS\system32\pphcpkbj0eefc.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\rhctkbj0eefc\MFC71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhctkbj0eefc\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhctkbj0eefc\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhctkbj0eefc (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhctkbj0eefc (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhctkbj0eefc (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcpkbj0eefc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\rhctkbj0eefc (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\rhctkbj0eefc\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\rhctkbj0eefc\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\rhctkbj0eefc.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\rhctkbj0eefc.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhctkbj0eefc\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphcpkbj0eefc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

07.08.2008, 09:58

Argus

Ehrenmitglied

Beiträge: 6028

#56 Und jetzt Combofix und ein log von Hijack This
__________
MfG Argus

07.08.2008, 10:17

hsman

...neu hier

Beiträge: 10

#57 Das Problemm ist, das Antivir und Zonealarm immer wieder neugestartet werden, wenn der pc hochfährt, das ermöglicht combofix nicht den komplett ablauf.
Ich werde jetzt erstmal beide deinstallieren und nochmal mit mbam anfangen.

oder hättest du einen anderen ratschlag?

07.08.2008, 10:19

Argus

Ehrenmitglied

Beiträge: 6028

#58 De-aktiviere mal kurz deine Scanner fuer Combofix
__________
MfG Argus

07.08.2008, 10:27

hsman

...neu hier

Beiträge: 10

#59 ComboFix 08-08-06.02 - Andre 2008-08-07 10:21:44.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1396 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\WINDOWS\system32\blphcpkbj0eefc.scr
C:\WINDOWS\system32\lphcpkbj0eefc.exe
C:\WINDOWS\system32\phcpkbj0eefc.bmp
.
---- Previous Run -------
.
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\lphcpkbj0eefc.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\phcpkbj0eefc.bmp
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\Temp\log.txt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-07-07 bis 2008-08-07 ))))))))))))))))))))))))))))))
.

2008-08-07 10:03 . 2008-08-07 10:03 90,112 --a------ C:\WINDOWS\system32\tibsxmxa.exe
2008-08-07 09:33 . 2008-08-07 09:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 09:33 . 2008-08-07 09:33 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Malwarebytes
2008-08-07 09:33 . 2008-08-07 09:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-07 09:33 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 09:33 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 09:03 . 2008-08-07 09:03 90,112 --a------ C:\WINDOWS\system32\alwxyvyv.exe
2008-08-07 08:29 . 2008-08-07 08:29 <DIR> d-------- C:\Programme\ldrfkee
2008-08-07 08:29 . 2008-08-07 08:29 90,112 --a------ C:\WINDOWS\system32\rezcfyvw.exe
2008-08-05 13:25 . 2008-08-05 13:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wzcvqnyv
2008-08-05 13:14 . 2008-08-05 13:38 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\BBMSDiamond
2008-07-30 08:44 . 2008-08-07 10:09 3,783 --a------ C:\WINDOWS\system32\OODBS.lor
2008-07-29 14:04 . 2008-07-29 14:04 <DIR> d-------- C:\WINDOWS\system32\oodag
2008-07-29 12:48 . 2008-07-29 12:48 <DIR> d-------- C:\Programme\OO Software
2008-07-24 10:03 . 2008-07-24 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Microsoft.Office.2007.Enterprise.Keygen.Only-MiCROSOFT
2008-07-21 08:15 . 2005-11-15 03:07 131,072 --a------ C:\WINDOWS\_detmp.2
2008-07-21 08:15 . 2008-07-20 13:28 76,104 --a------ C:\WINDOWS\_detmp.1
2008-07-20 13:48 . 2008-07-20 13:49 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\FRITZ!
2008-07-20 13:27 . 2008-07-21 08:15 <DIR> d-------- C:\Programme\FRITZ!DSL
2008-07-20 13:27 . 2008-07-20 13:27 <DIR> d-------- C:\Programme\FRITZ!BoxPrint
2008-07-20 13:27 . 2006-12-14 13:42 69,120 -ra------ C:\WINDOWS\system32\avmadd32.dll
2008-07-20 13:27 . 2006-05-29 01:00 16,384 -ra------ C:\WINDOWS\system32\avmprmon.dll
2008-07-20 13:26 . 2008-07-20 13:27 <DIR> d-------- C:\Programme\FRITZ!Box
2008-07-14 12:13 . 2008-08-07 10:25 3,612,704 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-14 12:13 . 2008-08-07 10:07 44,192 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-14 12:08 . 2008-07-14 12:08 <DIR> d-------- C:\Programme\Zone Labs
2008-07-11 22:52 . 2008-06-20 12:45 360,320 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2008-07-11 22:52 . 2008-06-20 11:52 225,920 --a------ C:\WINDOWS\system32\drivers\tcpip6.sys
2008-07-11 22:52 . 2008-06-20 12:44 138,368 --a------ C:\WINDOWS\system32\drivers\afd.sys
2008-07-09 09:37 . 2008-07-11 10:09 <DIR> d-------- C:\Programme\COMODO
2008-07-09 09:37 . 2008-07-11 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Comodo

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 06:54 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-05 11:38 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\uTorrent
2008-07-28 13:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-28 13:36 --------- d-----w C:\Programme\Microsoft Small Business
2008-07-14 19:03 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\ICQ
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 07:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2008-07-09 07:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2008-07-09 07:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-07-09 07:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-07-08 17:47 --------- d-----w C:\Programme\DivX
2008-07-01 19:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-01 19:51 --------- d-----w C:\Programme\ICQ6
2008-06-28 06:46 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\skypePM
2008-06-28 06:46 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Skype
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-14 17:09 --------- d-----w C:\Programme\BusspurAVV2008so
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-05 14:37 173,309,054 ----a-w C:\Dokumente und Einstellungen\Andre\Mark Medlock - Mr. Lonely (full album@192kbits and videos).zip
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2008-03-03 13:35 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 20:03 152872]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"UtilCom"="C:\WINDOWS\system32\rezcfyvw.exe" [2008-08-07 08:29 90112]
"websyschk"="C:\WINDOWS\system32\alwxyvyv.exe" [2008-08-07 09:03 90112]
"procgencmd"="C:\WINDOWS\system32\tibsxmxa.exe" [2008-08-07 10:03 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="C:\Windows\RUNXMLPL.exe" [2007-04-21 02:56 20480]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 13:00 174872]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 16:32 761945]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 19:51 53248]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 05:00 455168]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-06-13 12:56 142104]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-06-13 12:55 162584]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-06-13 12:55 138008]
"Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2007-03-02 12:25 208896]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2007-07-04 12:44 475136]
"Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 23:12 579584]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-05-28 16:56 342528]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 15:07 421888]
"PLFSet"="C:\WINDOWS\PLFSet.dll" [2007-04-24 12:49 45056]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 14:16 185896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16:32 16132608 C:\WINDOWS\RTHDCPL.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 05:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"8sMAorgltg"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wzcvqnyv\wfwtgdcb.exe" [2008-08-05 13:25 65536]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-01-02 21:58:20 45056]
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2007-04-01 10:02:38 568176]
Service Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2000-08-06 01:03:20 69632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"InfoEn"= {6C31DB96-74D4-300C-D7AD-0A2329E11BEB} - C:\Programme\ldrfkee\InfoEn.dll [2008-08-07 08:29 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 14:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 19:08]
S2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 10:07]
S3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;C:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-12-09 11:40]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-eNMTray.exe - (no file)
HKLM-Run-lphcpkbj0eefc - C:\WINDOWS\system32\lphcpkbj0eefc.exe
HKLM-Run-NWEReboot - (no file)

.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Mozilla\Firefox\Profiles\6r9lkl20.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.borussia.de/de/home,2,0.html

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 10:25:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-07 10:27:03
ComboFix-quarantined-files.txt 2008-08-07 08:26:58

Pre-Run: 17 Verzeichnis(se), 44,748,279,808 Bytes frei
Post-Run: 21 Verzeichnis(se), 44,725,628,928 Bytes frei

199 --- E O F --- 2008-07-13 19:09:47

und log von hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:29:30, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wzcvqnyv\wfwtgdcb.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rezcfyvw.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\WINDOWS\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UtilCom] C:\WINDOWS\system32\rezcfyvw.exe
O4 - HKCU\..\Run: [websyschk] C:\WINDOWS\system32\alwxyvyv.exe
O4 - HKCU\..\Run: [procgencmd] C:\WINDOWS\system32\tibsxmxa.exe
O4 - HKLM\..\Policies\Explorer\Run: [8sMAorgltg] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wzcvqnyv\wfwtgdcb.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O21 - SSODL: InfoEn - {6C31DB96-74D4-300C-D7AD-0A2329E11BEB} - C:\Programme\ldrfkee\InfoEn.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10149 bytes

Dieser Beitrag wurde am 07.08.2008 um 10:31 Uhr von hsman editiert.

07.08.2008, 11:09

Sabina

Ehrenmitglied

Beiträge: 29434

#60 Hallo hsman

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O4 - HKCU\..\Run: [UtilCom] C:\WINDOWS\system32\rezcfyvw.exe

O4 - HKCU\..\Run: [websyschk] C:\WINDOWS\system32\alwxyvyv.exe

O4 - HKCU\..\Run: [procgencmd] C:\WINDOWS\system32\tibsxmxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [8sMAorgltg] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wzcvqnyv\wfwtgdcb.exe

O21 - SSODL: InfoEn - {6C31DB96-74D4-300C-D7AD-0A2329E11BEB} - C:\Programme\ldrfkee\InfoEn.dll

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\tibsxmxa.exe
C:\WINDOWS\system32\rezcfyvw.exe
C:\WINDOWS\system32\alwxyvyv.exe
Folders to delete:
C:\Programme\ldrfkee
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wzcvqnyv

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt),kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

««
dann scanne noch mal mit malwarebytes im abgesicherten modus
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4 5 6 7 Letzte Seite