Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.08.2008, 10:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#121 Hallo ManuelStrauch

1.
diese datei scheint vom Panda zu sein, dennoch bitte prüfen....
C:\WINDOWS\system32\pfdnnt.exe

Virustotal http://www.virustotal.com/flash/index_en.html
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

2.
wende navilog an - option 1 und option 2 danach - post hier den report von option2
http://virus-protect.org/artikel/tools/navilog.html

3.
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2008, 22:42
...neu hier

Beiträge: 1
#122 Hallo,
ich hatte das Problem heute auch, dann habe ich den File lphcnncjoec3u.exe gefunden und gelöscht. Er steht in window\sytem32 und im fehlt das b vom Bildschirmschoner

vielleicht funktioniert es bei Dir auch
Seitenanfang Seitenende
25.08.2008, 22:50
Moderator

Beiträge: 5694
#123 Hallo pc13

So einfach geht das nicht ;)

Mache folgendes:

1.
Cleaner anwenden
http://www.virus-protect.org/ccleaner.html

2.
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

3.
poste das Logfile von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

4.
Erstelle ein Hijackthis-Logfiles
Anleitung: http://virus-protect.org/hjtkurz.html

Gruss Swiss
Seitenanfang Seitenende
25.08.2008, 23:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#124 Hallo pc13

Zitat

b vom Bildschirmschoner
scanne mit smitfraudfix (option 2 ) - dann erscheint das MS-Blau und du kannst ein neues Desktop-Bild einstellen
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.08.2008, 15:25
Member

Beiträge: 12
#125 hi,

ich habe ein ähnliches problem.

zuerst hatte ich einen weißen desktop hintergrund mit der bekannten spywarewarnung und einem fenster indem ich einer anti-spyware installation zustimmen sollte. zudem wurde auch die windows firewall deaktiviert. dies trat bei jedem neustart auf.
dann bin ich durch google auf diesen thread gestoßen, dachte mir "prima scheint ja ein lösbares problem zu sein", und bin kurz aus dem zimmer gegangen.
danach war der bildschirm blau und mir wurde mitgeteilt ein schwerwiegendes problem sei aufgetreten.
starte ich jetzt den pc fährt windows nicht richtig hoch, alles was ich sehe ist mein mausanzeiger vor einem schwarzen hintergrund.

starte ich windows im abgesicherten modus wird meine w-lan karte anscheinend nicht erkannt. somit kann ich nicht die vorgeschlagenen schritte durchführen.

sollte das problem nicht oder nur sehr schwer zu beheben sein könnte ich auch das komplette system deinstallieren, da ich diesen pc noch nicht lange habe und mir somit kein großer datenverlust droht.

Für eine hilfeanleitung wäre ich sehr, sehr dankbar.

mfg cuthbert
Seitenanfang Seitenende
27.08.2008, 15:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#126 Hallo cuthbert
man kann im abgesicherten Modus den Modus wählen, wo auch die Netzwerktreiber mit geladen werden.
Versuche es mal.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.08.2008, 16:23
Member

Beiträge: 12
#127 danke für die fixe antwort!

leider kann ich auf dem befallenen rechner keines der vier oben angegebenen programme installieren.

CCleaner hab ich runtergeladen, aber wenn ich es installieren will kriege ich einen nsis error "installer integrity check has failed. ..."

und bei den anderen drei kriege ich wenn ich sie runterladen will eine fehlermeldung "... Die Serververbindung konnte nicht hergestellt werden"

???

aber wie schon gesagt,
wenn es die möglichkeit gibt das system komplett zu deinstallieren, und ich somit windows nochmal komplett installieren muss, wäre das auch nicht sonderlich schlimm. zwar nervig aber kein beinbruch...
Seitenanfang Seitenende
27.08.2008, 16:39
Member

Beiträge: 325
#128 @ cuthbert
Was hast Du denn überhaupt für ein Betriebsystem (da Dein Rechner noch nicht so alt ist,nehme ich mal an "Vista) ??
Seitenanfang Seitenende
27.08.2008, 16:56
Member

Beiträge: 12
#129 hi provisitor,

ich habe xp mit sp 2.
Seitenanfang Seitenende
27.08.2008, 17:09
Member

Beiträge: 325
#130 Vllt können wir ja mal versuchen das System erstmal wieder einen kleinen "Türspalt" zu öffnen.(Weiß aber noch nicht ob es was bringt im abgesicherten)
Lade Dir mal die folgende -inf Datei runter und versuche ob Du sie ausführen und installieren kannst.Mit einer möglichen ersten Reperatur ist es dann vllt. möglich das evtl Dein System im Normalen dann wieder halbwegs ansprechbar ist. Kannst es ja mal probieren!? (die beräumt im besten Fall aber nur die Spitze des Eisberges, Ziel ist es erstmal irgendwelche Tools wieder zum Laufen zu bringen.)
Datei:
http://downloads.andymanchesta.com/RemovalTools/XP_VirusAlert_Repair.inf
Seitenanfang Seitenende
27.08.2008, 17:18
Member

Beiträge: 12
#131 wenn ich die datei öffne bin ich in einem text editor mit folgendem inhalt

[Version]
Signature="$Windows NT$"

[DefaultInstall]
DelReg=RemoveRestrictions
AddReg=ResetRegChanges

[ResetRegChanges]
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowControlPanel,0x10001,0x00000002
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowHelp,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyComputer,0x10001,0x00000002
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyDocs,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyMusic,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowMyPics,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowNetPlaces,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowRun,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowSearch,0x10001,0x00000001
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDrives,0x10001,0x00000000

[RemoveRestrictions]
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableRegistryTools"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","DisableTaskMgr"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies","NoDispCPL"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoSetFolders"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoStartMenuMorePrograms"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoToolbarCustomize"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","StartMenuLogoff"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableCMD"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableRegistryTools"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr"
HKCU, "Software\Microsoft\Windows\CurrentVersion\Policies\System","NoDispCPL"
HKCU, "Software\Policies\Microsoft\Internet Explorer\Restrictions","NoBrowserOptions"
HKCU, "Software\Policies\Microsoft\Windows\system","DisableCMD"


was mache ich damit jetzt?
Seitenanfang Seitenende
27.08.2008, 17:26
Member

Beiträge: 325
#132 Das ist der Inhalt.
Um diesen zu installieren machst du einen rechtsclick darauf und gehst auf "Installieren" dann wird es in die Reg eingetragen:
Seitenanfang Seitenende
27.08.2008, 17:33
Member

Beiträge: 12
#133 achsooo....
das hatte ich natürlich auch gemacht, aber ich dachte danach würde sich irgend ein fenster öffnen;)

hab jetzt das system neu gestartet, und siehe da es läuft wieder.

dafür schon mal vielen dank!

hole mir jetzt die progs und poste die logs.
Seitenanfang Seitenende
27.08.2008, 17:39
Member

Beiträge: 325
#134 Beachte bitte, solange der Unrat noch auf Deinem PC ist, können die Einträge jederzeit wieder zum "Bösen" gefak't werden wenn die Schadware sich wieder austobt.---> Eile ist geboten ggf. die Inf immer nochmal drüberjagen.
Seitenanfang Seitenende
27.08.2008, 18:25
Member

Beiträge: 12
#135 so hier schon mal der log von malwarebytes, die andren werden hoffentlich bald folgen.


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

18:22:29 27.08.2008
mbam-log-08-27-2008 (18-22-29).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 36279
Laufzeit: 1 minute(s), 17 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 23

Infizierte Speicherprozesse:
E:\WINDOWS\system32\lphcjkaj0ej1c.exe (Trojan.FakeAlert) -> Unloaded process successfully.
E:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.

Infizierte Speichermodule:
E:\WINDOWS\system32\blphcjkaj0ej1c.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcjkaj0ej1c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcnkaj0ej1c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\WINDOWS\system32\blphcjkaj0ej1c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
E:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
E:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
E:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
E:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
E:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
E:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
E:\WINDOWS\system32\lphcjkaj0ej1c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\phcjkaj0ej1c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt69.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\Dom\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.





der log von combofix



ComboFix 08-08-26.03 - Dom 2008-08-27 18:28:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1688 [GMT 2:00]
ausgeführt von:: E:\Dokumente und Einstellungen\Dom\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_tdssserv


((((((((((((((((((((((( Dateien erstellt von 2008-07-27 bis 2008-08-27 ))))))))))))))))))))))))))))))
.

2008-08-27 17:51 . 2008-08-27 17:51 <DIR> d-------- E:\Programme\Malwarebytes' Anti-Malware
2008-08-27 17:51 . 2008-08-27 17:51 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Malwarebytes
2008-08-27 17:51 . 2008-08-27 17:51 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-27 17:51 . 2008-08-17 15:01 38,472 --a------ E:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-27 17:51 . 2008-08-17 15:01 17,144 --a------ E:\WINDOWS\system32\drivers\mbam.sys
2008-08-27 17:34 . 2008-08-27 17:34 <DIR> d-------- E:\Programme\CCleaner
2008-08-27 15:48 . 2008-08-27 15:48 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
2008-08-27 14:22 . 2008-08-14 18:38 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-27 14:22 . 2008-08-14 19:32 <DIR> dr------- E:\Dokumente und Einstellungen\Administrator\Startmen
2008-08-27 14:22 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-27 14:22 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-27 14:22 . 2008-08-27 15:42 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-27 14:22 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-27 14:22 . 2008-08-27 15:48 <DIR> dr-h----- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-27 14:22 . 2008-08-27 14:22 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator
2008-08-27 12:47 . 2008-08-27 12:47 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\OpenOffice.org2
2008-08-27 12:46 . 2008-08-27 12:46 <DIR> d-------- E:\Programme\OpenOffice.org 2.4
2008-08-27 12:44 . 2008-08-27 12:44 <DIR> d-------- E:\Programme\Open Office
2008-08-27 11:16 . 2008-08-27 11:16 <DIR> d-------- E:\WINDOWS\Sun
2008-08-27 11:12 . 2008-08-27 11:12 <DIR> d-------- E:\Programme\Java
2008-08-27 11:12 . 2008-06-10 02:32 73,728 --a------ E:\WINDOWS\system32\javacpl.cpl
2008-08-27 11:11 . 2008-08-27 11:11 <DIR> d-------- E:\Programme\Gemeinsame Dateien\Java
2008-08-26 13:51 . 2005-03-14 14:01 208,896 --------- E:\WINDOWS\system32\SSRemove.exe
2008-08-26 13:51 . 2005-03-03 13:32 151,552 --a------ E:\WINDOWS\system32\SSCoInst.exe
2008-08-26 13:51 . 2005-03-03 19:09 57,344 --a------ E:\WINDOWS\system32\SSCoInst.dll
2008-08-26 13:51 . 2005-04-08 11:29 20,622 --a------ E:\WINDOWS\system32\SUGS2LMK.DLL
2008-08-26 13:51 . 2005-03-14 14:01 8,478 --------- E:\WINDOWS\system32\SP119.ICO
2008-08-26 13:51 . 2005-03-03 20:23 604 --a------ E:\WINDOWS\system32\SUGS2LMK.SMT
2008-08-26 13:50 . 2008-08-26 13:50 <DIR> d-------- E:\WINDOWS\Samsung
2008-08-26 13:50 . 2005-03-14 14:01 41,984 --------- E:\WINDOWS\system32\drivers\DGIVECP.SYS
2008-08-26 13:40 . 2004-08-03 23:01 25,856 --a------ E:\WINDOWS\system32\drivers\usbprint.sys
2008-08-26 13:40 . 2004-08-03 23:01 25,856 --a--c--- E:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-24 22:08 . 2008-08-26 23:12 <DIR> d-------- E:\Programme\PokerStars
2008-08-18 14:32 . 2008-08-18 14:32 <DIR> d--hs---- E:\WINDOWS\ftpcache
2008-08-18 14:30 . 2008-08-18 14:30 <DIR> d-------- E:\Programme\id Software
2008-08-16 14:39 . 2008-08-16 14:39 <DIR> d-------- E:\Programme\Alcohol Soft
2008-08-16 14:36 . 2008-08-16 14:36 716,272 --a------ E:\WINDOWS\system32\drivers\sptd.sys
2008-08-15 22:52 . 2008-08-15 22:52 449 --a------ E:\Verknpfung mit Programme.lnk
2008-08-15 20:59 . 2006-02-28 14:00 13,463,552 --a--c--- E:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-08-15 20:58 . 2006-02-28 14:00 290,816 --a--c--- E:\WINDOWS\system32\dllcache\adsiis51.dll
2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\WindowsShell.Manifest
2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\sapi.cpl.manifest
2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\nwc.cpl.manifest
2008-08-15 20:57 . 2008-08-15 20:57 749 -rah----- E:\WINDOWS\system32\ncpa.cpl.manifest
2008-08-15 20:57 . 2008-08-15 20:57 488 -rah----- E:\WINDOWS\system32\logonui.exe.manifest
2008-08-15 20:42 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET28.tmp
2008-08-15 20:42 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET25.tmp
2008-08-15 20:42 . 2006-02-28 14:00 14,573 -ra------ E:\WINDOWS\SET71.tmp
2008-08-15 20:42 . 2006-02-28 14:00 14,043 -ra------ E:\WINDOWS\SET35.tmp
2008-08-15 20:37 . 2008-08-15 20:37 <DIR> d-------- E:\WINDOWS\NV768164.TMP
2008-08-15 20:35 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET27.tmp
2008-08-15 20:35 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET24.tmp
2008-08-15 20:35 . 2006-02-28 14:00 14,573 -ra------ E:\WINDOWS\SET70.tmp
2008-08-15 20:35 . 2006-02-28 14:00 14,043 -ra------ E:\WINDOWS\SET34.tmp
2008-08-15 20:28 . 2008-08-15 20:29 <DIR> d-------- E:\WINDOWS\NV768172.TMP
2008-08-15 20:27 . 2006-02-28 14:00 14,573 -ra------ E:\WINDOWS\SET6F.tmp
2008-08-15 20:26 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET26.tmp
2008-08-15 20:26 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET23.tmp
2008-08-15 20:26 . 2006-02-28 14:00 14,043 -ra------ E:\WINDOWS\SET33.tmp
2008-08-15 20:15 . 2008-08-15 20:15 <DIR> d-------- E:\WINDOWS\NV768156.TMP
2008-08-15 20:15 . 2008-05-19 18:16 186,407 --a------ E:\WINDOWS\system32\nvapps.nvb
2008-08-15 16:50 . 2008-08-15 16:50 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Ubisoft
2008-08-15 16:45 . 2008-08-15 16:45 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-08-15 16:44 . 2007-10-12 15:14 3,734,536 --a------ E:\WINDOWS\system32\d3dx9_36.dll
2008-08-15 16:31 . 2008-08-15 16:31 <DIR> d-------- E:\Programme\Ubisoft
2008-08-15 13:36 . 2008-08-15 13:36 <DIR> d-------- E:\Programme\RivaTuner v2.09
2008-08-15 11:14 . 2008-08-15 22:42 24,944 --a------ E:\WINDOWS\system32\drivers\GVTDrv.sys
2008-08-15 11:10 . 1998-10-02 19:00 327,168 --a------ E:\WINDOWS\IsUninst.exe
2008-08-15 11:07 . 2008-08-15 11:07 <DIR> d-------- E:\Programme\Yahoo!
2008-08-15 11:06 . 2008-08-15 11:06 <DIR> d----c--- E:\WINDOWS\system32\DRVSTORE
2008-08-15 11:06 . 2008-08-15 11:06 <DIR> d-------- E:\Programme\DIFX
2008-08-15 11:06 . 2006-06-18 23:38 43,520 --a------ E:\WINDOWS\system32\drivers\AmdK8.sys
2008-08-15 11:04 . 2008-08-15 11:14 15,600 --a------ E:\WINDOWS\gdrv.sys
2008-08-15 00:35 . 2008-08-15 00:35 <DIR> d-------- E:\Programme\Lavalys
2008-08-15 00:12 . 2008-08-27 17:44 <DIR> d-------- E:\Eingang
2008-08-14 22:05 . 2008-08-14 22:05 <DIR> d-------- E:\WINDOWS\OPTIONS
2008-08-14 22:05 . 2008-06-16 15:08 109,184 --a------ E:\WINDOWS\system32\drivers\Rtenicxp.sys
2008-08-14 21:34 . 2008-08-27 15:51 <DIR> d-------- E:\Programme\Mozilla Thunderbird
2008-08-14 21:34 . 2008-08-14 21:34 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Thunderbird
2008-08-14 19:48 . 2008-08-27 18:30 <DIR> d-------- E:\Programme\SpeedFan
2008-08-14 19:48 . 2008-08-14 19:48 45 --a------ E:\WINDOWS\system32\initdebug.nfo
2008-08-14 19:41 . 2008-08-14 19:42 <DIR> d-------- E:\Programme\Gemeinsame Dateien\Adobe
2008-08-14 19:41 . 2008-08-14 19:41 <DIR> d-------- E:\Programme\foobar2000
2008-08-14 19:41 . 2008-08-14 19:41 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\vlc
2008-08-14 19:41 . 2008-08-27 13:04 <DIR> d-------- E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\foobar2000
2008-08-14 19:39 . 2008-08-14 19:39 <DIR> d-------- E:\Programme\VideoLAN
2008-08-14 19:35 . 2001-08-17 14:59 3,072 --a------ E:\WINDOWS\system32\drivers\audstub.sys
2008-08-14 19:34 . 2004-08-04 01:40 57,600 --a------ E:\WINDOWS\system32\drivers\redbook.sys
2008-08-14 19:33 . 2001-08-17 14:46 6,400 --a------ E:\WINDOWS\system32\drivers\enum1394.sys
2008-08-14 19:32 . 2008-08-14 18:38 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User\Vorlagen
2008-08-14 19:32 . 2008-08-14 19:32 <DIR> dr------- E:\Dokumente und Einstellungen\Default User\Startmen
2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-14 19:32 . 2008-08-14 19:32 <DIR> dr-h----- E:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d-------- E:\Dokumente und Einstellungen\Default User\Favoriten
2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-08-14 19:32 . 2008-08-27 12:46 <DIR> d--h----- E:\Dokumente und Einstellungen\All Users\Vorlagen
2008-08-14 19:32 . 2008-08-27 12:46 <DIR> dr------- E:\Dokumente und Einstellungen\All Users\Startmen
2008-08-14 19:32 . 2008-08-14 19:32 <DIR> d-------- E:\Dokumente und Einstellungen\All Users\Favoriten
2008-08-14 19:32 . 2008-08-14 18:39 <DIR> dr------- E:\Dokumente und Einstellungen\All Users\Dokumente
2008-08-14 19:31 . 2008-08-27 18:27 <DIR> d-------- E:\WINDOWS\system32\CatRoot2
2008-08-14 19:31 . 2008-08-26 13:51 <DIR> d-------- E:\WINDOWS\system32\CatRoot
2008-08-14 19:31 . 2008-08-14 19:32 <DIR> dr-h----- E:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-08-14 19:31 . 2008-08-15 20:42 <DIR> d--h----- E:\Dokumente und Einstellungen\Default User
2008-08-14 19:31 . 2008-08-27 17:51 <DIR> dr-h----- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-08-14 19:31 . 2008-08-14 18:41 <DIR> d-------- E:\Dokumente und Einstellungen\All Users
2008-08-14 19:31 . 2008-08-27 14:22 <DIR> d-------- E:\Dokumente und Einstellungen
2008-08-14 19:31 . 2006-02-28 14:00 1,086,058 -ra------ E:\WINDOWS\SET4.tmp
2008-08-14 19:31 . 2006-02-28 14:00 1,014,663 -ra------ E:\WINDOWS\SET3.tmp
2008-08-14 19:31 . 2008-08-15 16:44 285,591 --a------ E:\WINDOWS\setupapi.old
2008-08-14 19:30 . 2008-08-14 19:30 13,646 --a------ E:\WINDOWS\system32\wpa.bak
2008-08-14 19:22 . 2008-08-15 21:01 <DIR> d-------- E:\WINDOWS\nview
2008-08-14 19:22 . 2008-05-16 14:01 446,464 --a------ E:\WINDOWS\system32\nvudisp.exe
2008-08-14 19:22 . 2008-08-27 18:30 181,833 --a------ E:\WINDOWS\system32\nvapps.xml
2008-08-14 19:22 . 2008-05-16 14:01 18,070 --a------ E:\WINDOWS\system32\nvdisp.nvu
2008-08-14 19:21 . 2008-08-18 14:27 <DIR> d-------- E:\Programme\Gemeinsame Dateien\InstallShield
2008-08-14 19:21 . 2008-08-14 19:21 <DIR> d-------- E:\NVIDIA
2008-08-14 19:21 . 2008-05-16 11:48 446,464 --a------ E:\WINDOWS\system32\NVUNINST.EXE
2008-08-14 19:03 . 2008-08-14 19:03 0 --a------ E:\WINDOWS\nsreg.dat
2008-08-14 19:02 . 2008-08-14 19:02 7,333,664 --a------ E:\Programme\Firefox Setup 3.0.1.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 12:32 163,644 ----a-w E:\WINDOWS\system32\drivers\secdrv.sys
2008-08-18 12:32 --------- d--h--w E:\Programme\InstallShield Installation Information
2008-08-14 20:05 --------- d-----w E:\Programme\Realtek
2008-08-14 18:57 315,392 ----a-w E:\WINDOWS\HideWin.exe
2008-08-14 16:54 --------- d-----w E:\Programme\Avira
2008-08-14 16:54 --------- d-----w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-14 16:48 --------- d-----w E:\Programme\abit
2008-08-14 16:47 --------- d-----w E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\InstallShield
2008-08-14 16:47 --------- d-----w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Universal abit
2008-08-14 16:42 --------- d-----w E:\Programme\microsoft frontpage
2008-08-14 16:40 --------- d-----w E:\Programme\Online-Dienste
2008-08-14 16:39 --------- d-----w E:\Programme\Gemeinsame Dateien\Dienste
2008-07-18 20:10 94,920 ----a-w E:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w E:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w E:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w E:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w E:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w E:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w E:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w E:\WINDOWS\system32\wuaueng.dll
2008-06-27 09:24 4,742,656 ----a-w E:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-06-27 09:23 16,875,008 ----a-w E:\WINDOWS\RTHDCPL.exe
2008-06-19 14:42 2,808,832 ----a-w E:\WINDOWS\alcwzrd.exe
2008-06-19 14:27 9,715,200 ----a-w E:\WINDOWS\RTLCPL.exe
2008-06-19 14:20 57,344 ----a-w E:\WINDOWS\Alcmtr.exe
2008-06-18 16:01 77,824 ----a-w E:\WINDOWS\SoundMan.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"AlcoholAutomount"="E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AirPaceWifi"="E:\Programme\abit\abit uGuru\AirPaceWifi.exe" [2007-02-08 14:17 2240512]
"avgnt"="E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088]
"Adobe Reader Speed Launcher"="E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 86016]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 E:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-27 11:23 16875008 E:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 18:01 77824 E:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2008-06-19 16:42 2808832 E:\WINDOWS\alcwzrd.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"E:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"E:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"E:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"E:\\Programme\\Malwarebytes' Anti-Malware\\unins000.exe"=

S0 zwftu;zwftu;E:\WINDOWS\system32\drivers\elvoshe.sys []
S3 AR2425;abit AirPace Wi-Fi Wireless Network Adapter Service;E:\WINDOWS\system32\DRIVERS\aw5006.sys [2006-12-18 11:30]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - E:\Dokumente und Einstellungen\Dom\Anwendungsdaten\Mozilla\Firefox\Profiles\zmb5isfq.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.web.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 18:30:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\WINDOWS\system32\rundll32.exe
E:\Programme\SpeedFan\speedfan.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-27 18:31:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-27 16:31:28

Pre-Run: 7 Verzeichnis(se), 391,233,515,520 Bytes frei
Post-Run: 9 Verzeichnis(se), 391,252,312,064 Bytes frei

230







inzwischen ist edr desktop nur noch blau.



und die log von hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:38:21, on 27.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\Programme\abit\abit uGuru\AirPaceWifi.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\RTHDCPL.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Java\jre1.6.0_07\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\SpeedFan\speedfan.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\explorer.exe
E:\WINDOWS\system32\notepad.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AirPaceWifi] "E:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpeedFan.lnk = E:\Programme\SpeedFan\speedfan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 4044 bytes
Dieser Beitrag wurde am 27.08.2008 um 18:39 Uhr von cuthbert editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: