"Spyware Alert", gesperrter Task Manager und 3 Icons zu Websites auf dem Desktop

#0
19.08.2008, 19:38
...neu hier

Beiträge: 6
#16 hier der report:

ComboFix 08-08-18.05 - Sebastian Dziubiel 2008-08-19 19:19:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.2182 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sebastian Dziubiel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Default User\UserData
C:\Dokumente und Einstellungen\Default User\UserData\E5ZG9CJY\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Default User\UserData\index.dat
C:\Dokumente und Einstellungen\Dziubiel\UserData
C:\Dokumente und Einstellungen\Dziubiel\UserData\E5ZG9CJY\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Dziubiel\UserData\index.dat
C:\Dokumente und Einstellungen\Gast\UserData
C:\Dokumente und Einstellungen\Gast\UserData\E5ZG9CJY\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Gast\UserData\index.dat
C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\UT6A85WK\www.broadcaster.com
C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\fláshplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\fláshplayer\sys\#www.broadcaster.com\settings.sol
C:\Dokumente und Einstellungen\Sebastian Dziubiel\UserData
C:\Dokumente und Einstellungen\Sebastian Dziubiel\UserData\E5ZG9CJY\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Sebastian Dziubiel\UserData\index.dat
C:\WINDOWS\system32\Bank.dll
C:\WINDOWS\system32\config\systemprofile\UserData
C:\WINDOWS\system32\config\systemprofile\UserData\E5ZG9CJY\oWindowsUpdate[1].xml
C:\WINDOWS\system32\config\systemprofile\UserData\index.dat
C:\WINDOWS\system32\FTPx.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 14:16 . 2008-08-19 14:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-19 14:16 . 2008-08-19 14:16 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\Malwarebytes
2008-08-19 14:16 . 2008-08-19 14:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-19 14:16 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-19 14:16 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-19 13:03 . 2008-08-19 13:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-08-19 13:03 . 2008-08-19 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-19 12:44 . 2008-08-19 12:44 <DIR> d-------- C:\Programme\Trend Micro
2008-08-19 12:32 . 2008-08-19 12:32 <DIR> d-------- C:\Programme\ClearProg
2008-08-19 12:07 . 2008-08-19 13:42 1,968 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-19 12:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-19 12:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-19 12:06 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-19 12:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-19 12:06 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-19 12:06 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-19 12:06 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-08-19 12:06 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-19 12:06 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-18 09:57 . 2008-08-18 09:58 <DIR> d-------- C:\Programme\ICQ6
2008-08-15 11:24 . 2008-08-15 11:24 <DIR> d-------- C:\Programme\LingoPad
2008-08-01 09:49 . 2008-08-01 09:50 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-07-24 19:10 . 2008-07-24 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\Sebastian Dziubiel\dwhelper

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 11:33 --------- d-----w C:\Programme\AVI Codec Pack
2008-08-19 08:20 --------- d-----w C:\Programme\Winamp
2008-08-18 18:45 --------- d-----w C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\Skype
2008-08-18 18:37 --------- d-----w C:\Programme\Trillian
2008-08-18 08:02 --------- d-----w C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\ICQ
2008-08-18 07:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 22:09 59,918 ----a-w C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\wklnhst.dat
2008-08-15 10:03 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-07-25 10:30 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 10:06 --------- d-----w C:\Programme\Worms 4 Mayhem
2005-05-13 15:12 217,073 -csha-r C:\WINDOWS\meta4.exe
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-30 22:10 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 14:50 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 12:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-12 18:09 180269]
"Cmaudio"="cmicnfg.cpl" [2004-01-07 16:14 2453504 C:\WINDOWS\CMICNFG.CPL]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\Sebastian Dziubiel\Startmen\Programme\Autostart\
Rainlendar.lnk - C:\Programme\Rainlendar\Rainlendar.exe [2006-01-21 14:31:46 118784]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 00:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="D:\Tools\DAEMON Tools Lite\daemon.exe"
"swg"=C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"Dit"=Dit.exe
"CHotkey"=mHotkey.exe
"ledpointer"=CNYHKey.exe
"Prism_Utility"=Prismsta.exe
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Sierra\\EE-ZDE\\EE-AOC.exe"=
"C:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 17:29]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-06-09 03:00]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 11:04]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 11:47]
R3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 10:31]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 18:13]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 13:07]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe []
S3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-07-17 04:00]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 17:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 17:41]
S3 EraserUtilDrv10615;EraserUtilDrv10615;C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilDrv10615.sys []
S3 FXUSBASE;Teledat USB 2 a/b (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-06-09 03:00]
S3 gel90xne;gel90xne;C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\gel90xne.sys []
S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\Launcher\LAUNCHER.EXE

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-ALUAlert - C:\Programme\Symantec\LiveUpdate\ALUNotify.exe


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Sebastian Dziubiel\Anwendungsdaten\Mozilla\Firefox\Profiles\h0u1kqli.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 19:23:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 19:26:34
ComboFix-quarantined-files.txt 2008-08-19 17:26:13

Pre-Run: 11 Verzeichnis(se), 21,138,874,368 Bytes frei
Post-Run: 14 Verzeichnis(se), 21,154,390,016 Bytes frei

190 --- E O F --- 2008-08-14 20:24:04
__________
Hausaufgaben kostenlos: http://hausaufgabenweb.de/
Informatik Hausaufgaben: http://hausaufgabenweb.de/sonstiges/informatik/
Seitenanfang Seitenende
19.08.2008, 23:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Hallo Paul86

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Drivers to disable:
gel90xne
Drivers to delete:
gel90xne
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

---------

sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2008, 16:35
...neu hier

Beiträge: 6
#18 Also ich hab das mit avenger gemacht, aber danach hatte ich beim hochfahren bluescreens (einer davon war schwerer systemfehler STOP c000021a ....hab den Bluescreen abgeschrieben, kann ihn bei Bedarf posten.) Selbst der abgesicherte modus wollte nicht hochfahren. Jetzt, beim 4. und 5. Versuch hochzufahren hat wieder alles geklappt...

...allerdings hab ich jetzt etwas angst, dass ich hier mein system kaputt mache.

Soll ich den letzten Schritt wirklich noch ausführen oder ist das nicht dringend notwendig?
__________
Hausaufgaben kostenlos: http://hausaufgabenweb.de/
Informatik Hausaufgaben: http://hausaufgabenweb.de/sonstiges/informatik/
Seitenanfang Seitenende
20.08.2008, 23:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 komisch, dass es bei der Entfernung eines nicht vorhandenen Treibers solche Probleme gegeben hat.
Aber nun rollert wieder alles ? Ich hoffe sehr.
Du brauchst sdfix nicht anzuwenden (obwohl es bei diesem Proggie keine Probleme gibt) aber wenn wieder alles lauft, wie es soll, dann kann ich auf das log von sdfix verzichten - will ja den Rechner nicht zerschiessen ;)

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

berichte also, wie nun alles funktioniert.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2008, 00:40
...neu hier

Beiträge: 6
#20 Combofix ist deinstalliert und alles funktioniert wie immer auf dem PC, aber das hat es ja auch schon nach smidfraudfix so geklappt. Aber ich denke nach den ganzen Maßnahmen hier dürfen wohl auch die letzten reste beseitigt sein.

Trotzdem möchte ich aus Respekt vor den letzten Bluescreens nichts mehr machen...müsste ja wirklich alles weg sein

Ich danke dir für die Hilfe, Sabina!
__________
Hausaufgaben kostenlos: http://hausaufgabenweb.de/
Informatik Hausaufgaben: http://hausaufgabenweb.de/sonstiges/informatik/
Seitenanfang Seitenende
21.08.2008, 00:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#21 @Paul86
Es werden zwei Virenscanner benutzt 1 zuviel
__________
MfG Argus
Seitenanfang Seitenende
21.08.2008, 11:00
...neu hier

Beiträge: 6
#22 Ich habe aber eigentlich nur avira antivir drauf, was soll der andre sein?
__________
Hausaufgaben kostenlos: http://hausaufgabenweb.de/
Informatik Hausaufgaben: http://hausaufgabenweb.de/sonstiges/informatik/
Seitenanfang Seitenende
21.08.2008, 12:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#23 CA=E-trust virenscanner
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: