Home » Viren, Trojaner & Malware Forum » "Spyware Alert", gesperrter Task Manager und 3 Icons zu Websites auf dem Desktop » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

"Spyware Alert", gesperrter Task Manager und 3 Icons zu Websites auf dem Desktop

25.03.2008, 21:06

chsch

Member

Beiträge: 19

#1 BEARBEITUNG MEINES BEITRAGES:

Ich hab mich jetzt getraut, Combofix anzuwenden, da ich den Hinweis von Sabina gefunden habe. Vorher habe ich mit CC Cleaner bereinigt.

Das kam heraus -COMBOFIX:

ComboFix 08-03-25.1 - Tina 2008-03-25 21:38:07.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.264 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tina\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Tina\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Tina\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Tina\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Tina\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Tina\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Tina\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\dwnrpofk.dll
C:\WINDOWS\qvdntlmw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 ))))))))))))))))))))))))))))))
.

2008-03-25 21:32 . 2008-03-25 21:32 <DIR> d-------- C:\Programme\CCleaner
2008-03-25 20:29 . 2008-03-25 20:29 640 --a------ C:\Dokumente und Einstellungen\Tina\scores.dat
2008-03-25 20:29 . 2008-03-25 20:29 80 --a------ C:\Dokumente und Einstellungen\Tina\config.dat
2008-03-25 16:11 . 2008-03-25 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\eGames
2008-03-25 16:11 . 2008-03-25 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eGames
2008-03-25 14:58 . 2008-03-25 14:58 <DIR> d-------- C:\Programme\Doggie Dash
2008-03-25 13:17 . 2008-03-25 13:17 <DIR> d-------- C:\Programme\Wedding Dash
2008-03-25 12:59 . 2008-03-25 09:10 221,184 --a------ C:\WINDOWS\vbgtorfd.dll
2008-03-25 12:59 . 2008-03-25 09:10 81,920 --a------ C:\WINDOWS\norlatmx.exe
2008-03-25 05:27 . 2008-03-25 05:27 <DIR> d-------- C:\Programme\Diner Dash Flo On The Go
2008-03-25 05:27 . 2008-03-25 05:27 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\PlayFirst
2008-03-25 05:27 . 2008-03-25 05:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-03-24 18:27 . 2008-03-24 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games
2008-03-24 18:26 . 2008-03-24 18:26 <DIR> d-------- C:\Programme\Burger Island
2008-03-24 18:26 . 2008-03-24 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Sandlot Games
2008-03-24 18:21 . 2008-03-24 18:21 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-03-24 17:16 . 2008-03-24 17:16 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-03-24 17:16 . 2008-03-24 17:16 <DIR> d-------- C:\Programme\Burger Rush
2008-03-10 19:21 . 2008-03-10 19:21 <DIR> d-------- C:\Programme\QuickTime
2008-03-10 19:21 . 2008-03-10 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-03-10 19:16 . 2008-03-10 19:16 <DIR> d-------- C:\WINDOWS\system32\Passat_CC_screensaver dir
2008-03-10 19:16 . 2008-03-10 19:16 520,192 --a------ C:\WINDOWS\system32\Passat_CC_screensaver.scr

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 05:33 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2005-01-07 15:06 3,752,642 ----a-w C:\Programme\klite261d.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [ ]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:14 1204224]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]
"SoundMan"="SOUNDMAN.EXE" [2003-09-23 09:09 57344 C:\WINDOWS\SOUNDMAN.EXE]
"Disk Monitor"="C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe" [2003-06-18 11:57 466944]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 21:31 36975]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 23:42 176128]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 11:24 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 19:51 233472]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 18:37 229437]
"Cryptographic Service"="C:\WINDOWS\System32\rzldxf.exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-09-25 21:22 180269]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 16:47 249896]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"PhilipsSA33XXDM"="C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe" [2007-08-07 10:30 884736]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-31 23:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [ ]

C:\Dokumente und Einstellungen\Daniel\Startmen\Programme\Autostart\
FRITZ!web DSL.lnk - C:\Programme\FRITZ!DSL\FritzDsl.exe [2004-09-10 15:31:23 847921]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2005-03-17 14:06:14 59080]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-03-21 18:57:59 25214]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger"= {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Phgjndjn.dll [ ]
"vbgtorfd"= {2A083D3C-DE9A-44E7-9C9F-79B66D8A15CB} - C:\WINDOWS\vbgtorfd.dll [2008-03-25 09:10 221184]
"dwnrpofk"= {7939632D-29DD-4EBD-B21C-175B40ED632D} - C:\WINDOWS\dwnrpofk.dll [ ]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\FritzDsl.exe"=
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-19 15:48]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-19 15:48]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2004-04-28 09:03]
R1 prodrv04;Star Force copy protection driver v4;C:\WINDOWS\system32\drivers\prodrv04.sys [2006-04-02 16:27]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2004-04-28 08:58]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2004-04-28 09:03]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-06-11 02:00]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 21:40:21
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-25 21:40:39
ComboFix-quarantined-files.txt 2008-03-25 20:40:38
.
2008-03-20 16:37:43 --- E O F ---

-------------

Und hier die Datei, die HiJackThis erstellt hat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:50:04, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\rzldxf.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [PhilipsSA33XXDM] C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe OS_STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/255cf8e6d7cb75c0f119/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158598525187
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158598503656
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.premiumzone.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC347D4A-11C9-4239-BCBC-20B204E4AF99}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Phgjndjn.dll (file missing)
O21 - SSODL: vbgtorfd - {2A083D3C-DE9A-44E7-9C9F-79B66D8A15CB} - C:\WINDOWS\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {7939632D-29DD-4EBD-B21C-175B40ED632D} - C:\WINDOWS\dwnrpofk.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 10401 bytes

---------------------------
Meine Problembeschreibung:
---------------------------

Hallo und guten Abend,

ich habe heute im Internet auf einen Link für ein Spiel geklickt und danach ging es los. Ähnliche Probleme wurden hier in den letzten Monaten schon mehrfach beschrieben (ich hab' schon ein bißchen im Forum rumgesucht):

-Es erscheinen gefälschte "Windows"-Sicherheitshinweise und es öffnen sich der Internetexplorer mit der Aufforderung, das Internet anzuschalten und eine gewisse Software herunterzuladen ("Ultimate Cleaner 2007").

-Auf meinem Desktop wurden 3 Icons erstellt (Verknüpfungen mit den folgenden Namen: "Error Cleaner", "Spyware Protector" und "Spyware & Malware Protection"). Wenn ich die lösche, erscheinen sie nach einem Neustart sofort wieder.

-Der Taskmanager läßt sich nicht mehr öffnen ("gesperrt durch Administrator").

-Jedwede Anwendung, die ich laufen lassen möchte, wird nach wenigen Sekunden durch "Spyware Alerts" unterbrochen oder abgebrochen.

Ich habe von diesem Combofix gehört und würde es auch gerne schon versuchen, durchlaufen zu lassen. Ich muß aber vorausschicken, daß ich wirklich nicht viel von Viren verstehe... Ich habe außerdem gelesen, daß es eventuell nötig ist, vorher noch ein oder zwei andere Schritte zu tun. Nur weiß ich leider nicht, welche :o(

Ich hoffe, daß jemand hier die Geduld hat, sich die Mühe zu machen, mir zu helfen!

Im voraus dafür vielen Dank!
Christina

Dieser Beitrag wurde am 25.03.2008 um 21:52 Uhr von chsch editiert.

25.03.2008, 23:26

Argus

Ehrenmitglied

Beiträge: 6028

#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\rzldxf.exe

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.premiumzone.de/StarInstall.ocx

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Phgjndjn.dll (file missing)

O21 - SSODL: vbgtorfd - {2A083D3C-DE9A-44E7-9C9F-79B66D8A15CB} - C:\WINDOWS\vbgtorfd.dll

O21 - SSODL: dwnrpofk - {7939632D-29DD-4EBD-B21C-175B40ED632D} - C:\WINDOWS\dwnrpofk.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\vbgtorfd.dll
C:\WINDOWS\norlatmx.exe
C:\WINDOWS\System32\rzldxf.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vbgtorfd"=-
"dwnrpofk"=-
"Web Event Logger"=-

RootKit::
C:\WINDOWS\vbgtorfd.dll

CFScript.txt nennen und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus

26.03.2008, 00:02

chsch

Member

Themenstarter

Beiträge: 19

Zitat

Arnold postete
Combofix noch mal anwenden
poste dann nach neustart das neue Log

--------------------------------
Hier kommt der neue Bericht:
--------------------------------

ComboFix 08-03-25.1 - Tina 2008-03-25 23:52:45.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.260 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tina\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Tina\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\norlatmx.exe
C:\WINDOWS\System32\rzldxf.exe
C:\WINDOWS\vbgtorfd.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\norlatmx.exe
C:\WINDOWS\vbgtorfd.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 ))))))))))))))))))))))))))))))
.

2008-03-25 21:49 . 2008-03-25 21:49 <DIR> d-------- C:\Programme\Trend Micro
2008-03-25 21:32 . 2008-03-25 21:32 <DIR> d-------- C:\Programme\CCleaner
2008-03-25 20:29 . 2008-03-25 20:29 640 --a------ C:\Dokumente und Einstellungen\Tina\scores.dat
2008-03-25 20:29 . 2008-03-25 20:29 80 --a------ C:\Dokumente und Einstellungen\Tina\config.dat
2008-03-25 16:11 . 2008-03-25 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\eGames
2008-03-25 16:11 . 2008-03-25 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eGames
2008-03-25 14:58 . 2008-03-25 14:58 <DIR> d-------- C:\Programme\Doggie Dash
2008-03-25 13:17 . 2008-03-25 13:17 <DIR> d-------- C:\Programme\Wedding Dash
2008-03-25 05:27 . 2008-03-25 05:27 <DIR> d-------- C:\Programme\Diner Dash Flo On The Go
2008-03-25 05:27 . 2008-03-25 05:27 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\PlayFirst
2008-03-25 05:27 . 2008-03-25 05:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-03-24 18:27 . 2008-03-24 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games
2008-03-24 18:26 . 2008-03-24 18:26 <DIR> d-------- C:\Programme\Burger Island
2008-03-24 18:26 . 2008-03-24 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Sandlot Games
2008-03-24 18:21 . 2008-03-24 18:21 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-03-24 17:16 . 2008-03-24 17:16 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-03-24 17:16 . 2008-03-24 17:16 <DIR> d-------- C:\Programme\Burger Rush
2008-03-10 19:21 . 2008-03-10 19:21 <DIR> d-------- C:\Programme\QuickTime
2008-03-10 19:21 . 2008-03-10 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-03-10 19:16 . 2008-03-10 19:16 <DIR> d-------- C:\WINDOWS\system32\Passat_CC_screensaver dir
2008-03-10 19:16 . 2008-03-10 19:16 520,192 --a------ C:\WINDOWS\system32\Passat_CC_screensaver.scr

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 05:33 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2005-01-07 15:06 3,752,642 ----a-w C:\Programme\klite261d.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [ ]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:14 1204224]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]
"SoundMan"="SOUNDMAN.EXE" [2003-09-23 09:09 57344 C:\WINDOWS\SOUNDMAN.EXE]
"Disk Monitor"="C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe" [2003-06-18 11:57 466944]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 21:31 36975]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 23:42 176128]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 11:24 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 19:51 233472]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 18:37 229437]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-09-25 21:22 180269]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 16:47 249896]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"PhilipsSA33XXDM"="C:\Programme\Philips\SA33XX\Philips Device Manager\Bin\SA33XXDeviceManager.exe" [2007-08-07 10:30 884736]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-31 23:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\FritzDsl.exe"=
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-19 15:48]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-19 15:48]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2004-04-28 09:03]
R1 prodrv04;Star Force copy protection driver v4;C:\WINDOWS\system32\drivers\prodrv04.sys [2006-04-02 16:27]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2004-04-28 08:58]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2004-04-28 09:03]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-06-11 02:00]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 23:56:48
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroDist.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-25 23:58:43 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-25 22:58:42
ComboFix2.txt 2008-03-25 20:40:42
.
2008-03-20 16:37:43 --- E O F ---

Vieeelen Dank für die superschnelle Antwort! Ich war schon richtig verzweifelt, weil ich sowas noch nie hatte... Ich hab wirklich Angst bekommen, daß alles kaputt gehen würde.
Nachdem ich deine Anweisung befolgt habe, erscheinen die Internetseiten nicht mehr!
Muß ich noch etwas anderes beachten?

Gute Nacht,
Christina

26.03.2008, 00:07

Argus

Ehrenmitglied

Beiträge: 6028

#4 Funktioniert Taskmanager wieder?
__________
MfG Argus

26.03.2008, 00:13

chsch

Member

Themenstarter

Beiträge: 19

Zitat

Arnold postete
Funktioniert Taskmanager wieder?

Ja, ganz normal.

Sag' mal, wie nett seid ihr eigentlich, daß ihr das kostenlos anbietet! Oder hab ich die Kaffeekasse übersehen?

Vielen Dank nochmals!

26.03.2008, 00:14

Argus

Ehrenmitglied

Beiträge: 6028

#6 Wir sind noch nicht fertig!!

__________
MfG Argus

26.03.2008, 00:16

chsch

Member

Themenstarter

Beiträge: 19

Zitat

Arnold postete
Wir sind noch nicht fertig!!

??

Aha? Was soll ich denn als nächstes machen?

26.03.2008, 00:21

Argus

Ehrenmitglied

Beiträge: 6028

#8 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Java
Dein Java software ist veraltet,
Download jre-6u5-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 5
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u5-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u5-windows-i586-p.exe

Malwarebytes Anti-Malware
Download MBAM zum Desktop
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" .
Waehle alle Laufwerke >Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
http://virus-protect.org/artikel/tools/malwarebytes.html

Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Tip:Spywareblaster http://www.javacoolsoftware.com/spywareblaster.html

http://board.protecus.de/media.php
__________
MfG Argus

26.03.2008, 09:16

chsch

Member

Themenstarter

Beiträge: 19

#9 Puuuuh!

Ich hab alles gemacht, inklusive Spywareblaster installiert. Bei MBAM wurden noch 3 Dateien (HKEY) gefunden, die ich gelöscht habe. Brauchst du noch das logfile?

Bin ich jetzt fertig oder kommt noch mehr? Ich hätte nicht gedacht, daß ein einziger Klick ein derartiges Chaos anrichten und soviel Arbeit nach sich ziehen könnte... Aber ehrlichgesagt habe ich von Internetsicherheit soviel Ahnung wie ein Elefant vom Fliegen!

Bin ich für die Zukunft ausreichend geschützt, wenn ich AntiVir und Spywareblaster regelmäßig aktualisiere? Sollte ich mir noch was anderes besorgen?

Grüße,
Christina

PS: Gestern Nacht konnte ich nicht mehr bleiben, aber danke dir, daß du so spät noch geantwortet hast!

26.03.2008, 09:31

Argus

Ehrenmitglied

Beiträge: 6028

#10 Bei uns in Holland geht die Sonne eine stunde spaeter runter

Man soll sein Rechner Up-to-date halten dafuer gibt es ein tool http://secunia.com/software_inspector/

Wenn ich jeden Tag lese wass im Internet so los ist,wird mir uebel

__________
MfG Argus

27.03.2008, 21:37

chsch

Member

Themenstarter

Beiträge: 19

#11

Zitat

Arnold postete

Wenn ich jeden Tag lese wass im Internet so los ist,wird mir uebel

Ja, da hast du bestimmt recht. Jemand, der sich mit solchen Sachen gut auskennt, wird wahrscheinlich noch mehr Fallen entdecken, als ein Laie wie ich. Zum Glück ist mir das zum ersten Mal passiert. Aber ich kenne auch Leute, die häufiger Probleme haben, weil sie viele e-mails mit Anhang bekommen oder Musik runterladen...

Ich habe deinen Link zu secunia.com probiert, aber dabei hat mein PC sich 2x hintereinander ausgeschaltet. Da hielt ich es für besser, darauf zu verzichten.

Ich danke dir nochmals für deine Hilfe und ich freue mich, daß du ein Paypal-Konto hast. ;o)

Viele Grüße nach Holland,
Christina

19.08.2008, 14:07

Paul86

...neu hier

Beiträge: 6

#12 Hallo,

ich hatte genau das gleiche Problem wie chsch. Ich habe es versucht mit SmitfraudFix zu lösen und es scheint auch geklappt zu haben: keine Icons mehr auf dem Desktop, Taskmanager funktioniert wieder, alles wieder ok.

Ich würde jetzt nur gerne wissen ob es das auch für mich war, oder ob jetzt noch was zu tun ist. Ich kenne mich absolut nicht mit all dem aus...

Ich weiß zwar nicht genau obn euch das was bringt, aber hier ist ein HijackThis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:31, on 19.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: rafbsvnx - {C1BA55E4-0DD3-4F21-A036-94F6DEEB9F89} - C:\WINDOWS\rafbsvnx.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9F18991-D46E-4A03-AC10-941CB360680E}: NameServer = 192.168.2.1
O21 - SSODL: tsxngabr - {3FF1E1EC-398B-42D6-B669-F863C2CE9448} - C:\WINDOWS\tsxngabr.dll (file missing)
O21 - SSODL: vtqnxfko - {140E005D-CCB3-4179-B743-61CE3B203EE2} - C:\WINDOWS\vtqnxfko.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5905 bytes

Wenn ihr noch irgendwas braucht, dann meldet euch bitte! Ich möchte ungern noch rückstände von diesem Wurm / Virus oder was das auch war auf dem PC behalten...

Vielen Dank
Paul
__________
Hausaufgaben kostenlos: http://hausaufgabenweb.de/
Informatik Hausaufgaben: http://hausaufgabenweb.de/sonstiges/informatik/

19.08.2008, 14:10

Sabina

Ehrenmitglied

Beiträge: 29434

#13 Hallo Paul86

««
mit dem HijackThis löschen ("fixen")
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)

O3 - Toolbar: rafbsvnx - {C1BA55E4-0DD3-4F21-A036-94F6DEEB9F89} - C:\WINDOWS\rafbsvnx.dll (file missing)

O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)

O21 - SSODL: tsxngabr - {3FF1E1EC-398B-42D6-B669-F863C2CE9448} - C:\WINDOWS\tsxngabr.dll (file missing)
O21 - SSODL: vtqnxfko - {140E005D-CCB3-4179-B743-61CE3B203EE2} - C:\WINDOWS\vtqnxfko.dll (file missing)

««
dann scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

19.08.2008, 16:01

Paul86

...neu hier

Beiträge: 6

#14 Gut hab ich gemacht. Hier ist der Report von mbam:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1070
Windows 5.1.2600 Service Pack 2

15:55:30 19.08.2008
mbam-log-08-19-2008 (15-55-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 155247
Laufzeit: 1 hour(s), 27 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\rafbsvnx.blgr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\rafbsvnx.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{0cfa5367-c9dd-4f63-833a-d7365f6f9f52} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1820ef50-db4a-459c-87cc-69013da175fb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f344970d-fed7-4874-8a06-130c72903615} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c1ba55e4-0dd3-4f21-a036-94f6deeb9f89} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{82646fbf-a876-4b02-b103-37a4ac51c0a7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{f4c54963-3dc8-492c-a41c-0e12004997a7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\etwb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Rundll32.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\tqwolser.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

der HighjackThis log sieht jetzt so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:40, on 19.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9F18991-D46E-4A03-AC10-941CB360680E}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5381 bytes

Hab ich jetzt alles beseitigt?

Vielen Dank Erstmal für die Hilfe!
Paul
__________
Hausaufgaben kostenlos: http://hausaufgabenweb.de/
Informatik Hausaufgaben: http://hausaufgabenweb.de/sonstiges/informatik/

19.08.2008, 17:26

Sabina

Ehrenmitglied

Beiträge: 29434

#15 Hallo Paul86

Fixe mit hijacktHis

Zitat

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

wende Combofix an (warnmeldung wegklicken) + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2