Spyware, und bekomme sie einfach nicht weg, ratlos

#1 Hallo!

Ich habe mir heute irgendwie Spyware eingefangen, und bekomme jetzt auch immer diese nervigen meldungen, und weg bekomme ich die spyware auch nicht.
Mit computern hab ichs auch nicht so ehrlichgesagt.

Koennte mir da jemand bitte weiterhelfen und erklaeren was zu tun ist ?

Danke im voraus

#2 Hallo tatse

Hallo rectangle

1.
CCleaner. anwenden
http://www.virus-protect.org/CCleaner.html

2.
poste das Logfile von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

3.
Erstelle ein Hijackthis-Logfiles
Anleitung: http://virus-protect.org/hjtkurz.html

Gruss Swiss

#3 Okay,
Combofix:

ComboFix 08-03-26.3 - Max 2008-03-27 20:26:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1575 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Max\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
TimedOut: Windir.dat

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Max\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Max\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Max\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Max\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Max\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Max\Favoriten\Spyware&Malware Protection.url
C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\spylocked 4.3
C:\Programme\spylocked 4.3\ignored.lst
C:\Programme\spylocked 4.3\sd.ini
C:\WINDOWS\dwnrpofk.dll
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\qvdntlmw.dll
C:\WINDOWS\rs.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 15:15 . 2008-03-27 15:15 <DIR> d-------- C:\Programme\Lavasoft
2008-03-27 15:15 . 2008-03-27 15:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-27 14:08 . 2008-03-27 14:08 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-03-27 14:08 . 2008-03-27 14:08 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-27 14:08 . 2008-03-27 14:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-27 14:07 . 2008-03-27 16:12 <DIR> d-------- C:\Programme\Prevx2
2008-03-27 14:07 . 2008-03-27 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Prevx
2008-03-27 14:07 . 2008-03-27 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-03-27 13:29 . 2008-03-27 13:29 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Grisoft
2008-03-27 12:38 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-03-27 12:31 . 2008-03-27 12:31 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-03-27 12:31 . 2008-03-27 12:31 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-03-27 12:30 . 2008-03-27 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-03-27 12:26 . 2008-03-27 12:26 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-03-27 12:25 . 2008-03-27 12:25 <DIR> d-------- C:\Programme\Sunbelt Software
2008-03-27 12:25 . 2008-03-27 12:25 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Sunbelt Software
2008-03-27 12:25 . 2008-03-27 12:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-03-27 10:44 . 2008-03-27 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Desktopvirii
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\DesktopTrojan.Win32.BlackBird.exe
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\DesktopFWebdEditor.exe
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\Desktopfwebd.exe
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\Desktopfkwp2.0.exe
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\Desktopfkwp1.5.exe
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\Desktopfilemanagerclient.exe
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP2.0.exe
2008-03-27 10:44 . 2008-03-27 10:44 4,096 --a------ C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP1.5.exe
2008-03-27 10:43 . 2008-03-27 10:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr
2008-03-27 10:43 . 2008-03-26 17:28 221,184 --a------ C:\WINDOWS\vbgtorfd.dll
2008-03-27 10:43 . 2008-03-26 17:28 212,992 --a------ C:\WINDOWS\kdftlboedsb.dll
2008-03-27 10:43 . 2008-03-27 10:43 110,592 --a------ C:\WINDOWS\system32\cpepylcb.exe
2008-03-27 10:43 . 2008-03-26 17:28 81,920 --a------ C:\WINDOWS\norlatmx.exe
2008-03-08 22:05 . 2008-03-08 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Max\WINDOWS
2008-03-08 17:35 . 2008-03-18 12:55 <DIR> d-------- C:\Programme\WinAce
2008-03-07 10:10 . 2008-03-22 12:39 <DIR> d-------- C:\Westwood
2008-02-27 20:46 . 2008-02-27 20:46 <DIR> d-------- C:\WINDOWS\system32\avsplugin
2008-02-27 20:46 . 2008-02-27 20:46 <DIR> d-------- C:\Programme\Smallvideosoft
2008-02-27 20:46 . 2004-05-26 20:37 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-02-27 20:46 . 2006-10-17 22:29 487,479 --a------ C:\WINDOWS\system32\SkinMagic.dll
2008-02-27 20:46 . 2006-12-31 10:16 313,344 --a------ C:\WINDOWS\system32\avisynth.dll
2008-02-27 20:46 . 2007-02-16 07:10 60,273 --a------ C:\WINDOWS\system32\pthreadGC2.dll
2008-02-27 20:44 . 2005-11-21 06:48 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-02-27 20:44 . 2005-11-21 06:48 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-02-27 20:08 . 2008-03-18 12:50 <DIR> d-------- C:\Programme\Xilisoft
2008-02-27 19:53 . 2008-03-18 12:53 <DIR> d-------- C:\Programme\Kate's Video Converter
2008-02-27 19:30 . 2008-02-27 19:30 3,120 --a------ C:\WINDOWS\system32\1716030c-945d-4ce0-8cd0-5bc8659b2dab.dll
2008-02-27 19:30 . 2008-02-27 19:30 3,120 --a------ C:\WINDOWS\1da2b645-dd84-4d33-a30b-3fd5e5de4136.ocx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 18:09 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-27 15:12 --------- d-----w C:\Programme\FlashGet
2008-03-27 14:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-27 14:02 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\teamspeak2
2008-03-27 09:49 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Skype
2008-03-27 07:07 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\skypePM
2008-03-18 11:55 --------- d-----w C:\Programme\Yahoo!
2008-03-18 11:51 --------- d-----w C:\Programme\GemMasterGerman
2008-03-05 20:48 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Corel
2008-02-19 21:42 --------- d-----w C:\Programme\PC Connectivity Solution
2008-02-19 21:42 --------- d-----w C:\Programme\Nokia
2008-02-19 21:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-02-19 21:40 --------- d-----w C:\Programme\DIFX
2008-02-19 21:39 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\PC Suite
2008-02-18 17:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-17 10:00 --------- d-----w C:\Programme\EuphRO2
2008-02-14 17:37 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\AdobeUM
2008-01-14 12:52 81,920 ----a-w C:\WINDOWS\system32\frapsvid.dll
2007-12-28 21:05 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C6B9885D-B686-49A0-806B-062D4D3B9091}]
2008-03-26 17:28 212992 --a------ C:\WINDOWS\kdftlboedsb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 13:00 15360]
"msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2007-11-13 15:48 3411968]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"uywoimeq"="C:\WINDOWS\system32\cpepylcb.exe" [2008-03-27 10:43 110592]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="C:\Programme\VIAudioi\HDADeck\HDeck.exe" [2006-07-17 14:36 684032]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 16:38 7700480]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-27 19:12 3142236]
"Flashget"="C:\Programme\FlashGet\flashget.exe" [2007-09-25 09:10 2007088]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"PrevxOne"="C:\Programme\Prevx2\PXConsole.exe" [2008-01-23 12:32 1997880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"mg7uU11SP2"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr\wxsdwbgz.exe

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"zip"= {9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de} - C:\WINDOWS\Installer\{9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de}\zip.dll [2008-03-27 10:43 23274]
"vbgtorfd"= {56687D8C-7B0F-4199-8385-375F7356FA41} - C:\WINDOWS\vbgtorfd.dll [2008-03-26 17:28 221184]
"dwnrpofk"= {1313448A-BCE4-4767-8888-D5F53365B70C} - C:\WINDOWS\dwnrpofk.dll [ ]
"ChkRom"= {e8560666-4996-4ed4-99cd-266bc398e83a} - C:\WINDOWS\Installer\{e8560666-4996-4ed4-99cd-266bc398e83a}\ChkRom.dll [2008-03-27 10:43 14378]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe]
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]
C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullGuard]
C:\Programme\BullGuard Software\BullGuard\bullguard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2006-03-24 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-09-29 13:01 67584 C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GnabTray]
--a------ 2006-09-29 13:33 282624 C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMEKRMIG6.1]
--a------ 2006-03-24 13:00 44032 C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2006-03-24 13:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2006-03-24 13:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-06 16:38 7700480 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-06 16:38 1617920 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2006-03-24 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2006-03-24 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler]
--a------ 2005-11-30 23:45 77892 C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-12-07 15:08 21686568 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\PlayOnline\\SquareEnix\\PlayOnlineViewer\\pol.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25067:TCP"= 25067:TCP:BitComet 25067 TCP
"25067:UDP"= 25067:UDP:BitComet 25067 UDP

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-03-27 12:26]
R2 GnabService;GnabService;c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe [2006-09-29 13:33]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-03-24 13:00]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:16:14 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 20:28:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = C:\Programme\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 20:29:11
ComboFix-quarantined-files.txt 2008-03-27 19:29:02
15 Verzeichnis(se), 147,861,176,320 Bytes frei
17 Verzeichnis(se), 147,845,169,152 Bytes frei
.
2008-03-13 02:01:01 --- E O F ---

und Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:34:01, on 27.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr\wxsdwbgz.exe
C:\Programme\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\cpepylcb.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Medion\MEDIONbox\Program\GCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Max\Desktop\Spyware\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: GNX Bingo - {C6B9885D-B686-49A0-806B-062D4D3B9091} - C:\WINDOWS\kdftlboedsb.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [uywoimeq] C:\WINDOWS\system32\cpepylcb.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [mg7uU11SP2] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr\wxsdwbgz.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161154479125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198562104147
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: zip - {9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de} - C:\WINDOWS\Installer\{9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de}\zip.dll
O21 - SSODL: vbgtorfd - {56687D8C-7B0F-4199-8385-375F7356FA41} - C:\WINDOWS\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {1313448A-BCE4-4767-8888-D5F53365B70C} - C:\WINDOWS\dwnrpofk.dll (file missing)
O21 - SSODL: ChkRom - {e8560666-4996-4ed4-99cd-266bc398e83a} - C:\WINDOWS\Installer\{e8560666-4996-4ed4-99cd-266bc398e83a}\ChkRom.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GnabService - Empolis GmbH - c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8273 bytes

#4 Lade folgende Dateien bei www.virustotal.com/de hoch und poste das ergebniss:

C:\Dokumente und Einstellungen\All users\Anwendungsdaten\orujsxwr\wxsdwbgz.exe

C:\WINDOWS\system32\cpepylcb.exe

Gruss Swiss

#5 Die erste datei finde ich nich,

Bei der zweiten kam das raus

Datei cpepylcb.exe empfangen 2008.03.27 21:55:01 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 51 und 73 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.27 -
AntiVir 7.6.0.75 2008.03.27 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.27 -
Avast 4.7.1098.0 2008.03.27 -
AVG 7.5.0.516 2008.03.27 -
BitDefender 7.2 2008.03.27 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.27 -
DrWeb 4.44.0.09170 2008.03.27 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5648 2008.03.27 -
Ewido 4.0 2008.03.27 -
F-Prot 4.4.2.54 2008.03.27 -
F-Secure 6.70.13260.0 2008.03.27 -
FileAdvisor 1 2008.03.27 -
Fortinet 3.14.0.0 2008.03.27 -
Ikarus T3.1.1.20 2008.03.27 -
Kaspersky 7.0.0.125 2008.03.27 -
McAfee 5261 2008.03.27 -
Microsoft 1.3301 2008.03.27 -
NOD32v2 2979 2008.03.27 -
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.26 -
Prevx1 V2 2008.03.27 Covert.Sys.Exec
Rising 20.37.32.00 2008.03.27 -
Sophos 4.27.0 2008.03.27 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.27 -
TheHacker 6.2.92.256 2008.03.27 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.27 -
Webwasher-Gateway 6.6.2 2008.03.27 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 110592 bytes
MD5: 810352f965f5fdfdf6b3831c3a1dc7e7
SHA1: ad66ce8b76b90b8ae85689ab33ecc27fc3ccad8a
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F1963AAB00BA0EB4B0A10145FC4A7B00242D03FB

Ist das was du meinstes? oder sollte ich hijackthis posten?

#6 Hast Du Dir dieses Programm bewusst installiert?
--> SUPERAntiSpyware


Sanne noch mit EWIDO und poste das Ergebnis
http://virus-protect.org/onlinescan.html


Hier muss Dir Pinguin ein Skript erstellen um dies zu löschen.

Gruss Swiss

#7 ---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 23:42:58 27.03.2008

+ Scan-Ergebnis:



Keine Bedrohung gefunden.



::Berichtende


Ist das ein ewido bericht? ^^;
ich hab nur avg anti-spyware gefunden auf dem ewido link.
und ja, das hatte ich bewusst installiert.

#8 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: GNX Bingo - {C6B9885D-B686-49A0-806B-062D4D3B9091} - C:\WINDOWS\kdftlboedsb.dll
O4 - HKCU\..\Run: [uywoimeq] C:\WINDOWS\system32\cpepylcb.exe
O4 - HKLM\..\Policies\Explorer\Run: [mg7uU11SP2] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr\wxsdwbgz.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O21 - SSODL: zip - {9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de} - C:\WINDOWS\Installer\{9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de}\zip.dll
O21 - SSODL: vbgtorfd - {56687D8C-7B0F-4199-8385-375F7356FA41} - C:\WINDOWS\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {1313448A-BCE4-4767-8888-D5F53365B70C} - C:\WINDOWS\dwnrpofk.dll (file missing)
O21 - SSODL: ChkRom - {e8560666-4996-4ed4-99cd-266bc398e83a} - C:\WINDOWS\Installer\{e8560666-4996-4ed4-99cd-266bc398e83a}\ChkRom.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Dirlook::
C:\Dokumente und Einstellungen\Max\Desktopvirii

File::
C:\Dokumente und Einstellungen\Max\DesktopTrojan.Win32.BlackBird.exe
C:\Dokumente und Einstellungen\Max\DesktopFWebdEditor.exe
C:\Dokumente und Einstellungen\Max\Desktopfwebd.exe
C:\Dokumente und Einstellungen\Max\Desktopfkwp2.0.exe
C:\Dokumente und Einstellungen\Max\Desktopfkwp1.5.exe
C:\Dokumente und Einstellungen\Max\Desktopfilemanagerclient.exe
C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP2.0.exe
C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP1.5.exe
C:\WINDOWS\vbgtorfd.dll
C:\WINDOWS\kdftlboedsb.dll
C:\WINDOWS\system32\cpepylcb.exe
C:\WINDOWS\norlatmx.exe
C:\WINDOWS\dwnrpofk.dll

Folder::
C:\WINDOWS\Installer\{9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de}
C:\WINDOWS\Installer\{e8560666-4996-4ed4-99cd-266bc398e83a}
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"zip"=-
"vbgtorfd"=-
"dwnrpofk"=-
"ChkRom"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C6B9885D-B686-49A0-806B-062D4D3B9091}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uywoimeq"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"mg7uU11SP2"=-

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#9 Combofix

ComboFix 08-03-26.3 - Max 2008-03-28 1:26:20.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1546 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Max\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Max\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP1.5.exe
C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP2.0.exe
C:\Dokumente und Einstellungen\Max\Desktopfilemanagerclient.exe
C:\Dokumente und Einstellungen\Max\Desktopfkwp1.5.exe
C:\Dokumente und Einstellungen\Max\Desktopfkwp2.0.exe
C:\Dokumente und Einstellungen\Max\Desktopfwebd.exe
C:\Dokumente und Einstellungen\Max\DesktopFWebdEditor.exe
C:\Dokumente und Einstellungen\Max\DesktopTrojan.Win32.BlackBird.exe
C:\WINDOWS\dwnrpofk.dll
C:\WINDOWS\kdftlboedsb.dll
C:\WINDOWS\norlatmx.exe
C:\WINDOWS\system32\cpepylcb.exe
C:\WINDOWS\vbgtorfd.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\orujsxwr\wxsdwbgz.exe
C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP1.5.exe
C:\Dokumente und Einstellungen\Max\DesktopEditorFKWP2.0.exe
C:\Dokumente und Einstellungen\Max\Desktopfilemanagerclient.exe
C:\Dokumente und Einstellungen\Max\Desktopfkwp1.5.exe
C:\Dokumente und Einstellungen\Max\Desktopfkwp2.0.exe
C:\Dokumente und Einstellungen\Max\Desktopfwebd.exe
C:\Dokumente und Einstellungen\Max\DesktopFWebdEditor.exe
C:\Dokumente und Einstellungen\Max\DesktopTrojan.Win32.BlackBird.exe
C:\WINDOWS\Installer\{9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de}
C:\WINDOWS\Installer\{9690aab9-fcfe-4b8a-a3d2-dfd4d2bff0de}\zip.dll
C:\WINDOWS\Installer\{e8560666-4996-4ed4-99cd-266bc398e83a}
C:\WINDOWS\Installer\{e8560666-4996-4ed4-99cd-266bc398e83a}\ChkRom.dll
C:\WINDOWS\norlatmx.exe
C:\WINDOWS\system32\cpepylcb.exe
C:\WINDOWS\vbgtorfd.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.

2008-03-28 01:20 . 2008-03-28 01:20 90,112 --a------ C:\WINDOWS\system32\nobkdwfk.exe
2008-03-27 15:15 . 2008-03-27 15:15 <DIR> d-------- C:\Programme\Lavasoft
2008-03-27 15:15 . 2008-03-27 15:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-27 14:08 . 2008-03-27 14:08 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-03-27 14:08 . 2008-03-27 14:08 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-27 14:08 . 2008-03-27 14:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-27 14:07 . 2008-03-28 01:19 <DIR> d-------- C:\Programme\Prevx2
2008-03-27 14:07 . 2008-03-27 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Prevx
2008-03-27 14:07 . 2008-03-27 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-03-27 13:29 . 2008-03-27 13:29 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Grisoft
2008-03-27 12:38 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-03-27 12:31 . 2008-03-27 12:31 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-03-27 12:31 . 2008-03-27 12:31 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-03-27 12:30 . 2008-03-27 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-03-27 12:26 . 2008-03-27 12:26 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-03-27 12:25 . 2008-03-27 12:25 <DIR> d-------- C:\Programme\Sunbelt Software
2008-03-27 12:25 . 2008-03-27 12:25 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Sunbelt Software
2008-03-27 12:25 . 2008-03-27 12:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-03-27 10:44 . 2008-03-27 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Desktopvirii
2008-03-08 22:05 . 2008-03-08 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Max\WINDOWS
2008-03-08 17:35 . 2008-03-18 12:55 <DIR> d-------- C:\Programme\WinAce
2008-03-07 10:10 . 2008-03-22 12:39 <DIR> d-------- C:\Westwood

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 00:20 --------- d-----w C:\Programme\FlashGet
2008-03-28 00:11 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Skype
2008-03-27 20:41 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\skypePM
2008-03-27 18:09 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-27 14:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-27 14:02 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\teamspeak2
2008-03-18 11:55 --------- d-----w C:\Programme\Yahoo!
2008-03-18 11:53 --------- d-----w C:\Programme\Kate's Video Converter
2008-03-18 11:51 --------- d-----w C:\Programme\GemMasterGerman
2008-03-18 11:50 --------- d-----w C:\Programme\Xilisoft
2008-03-05 20:48 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Corel
2008-02-27 19:46 --------- d-----w C:\Programme\Smallvideosoft
2008-02-27 18:30 3,120 ----a-w C:\WINDOWS\system32\1716030c-945d-4ce0-8cd0-5bc8659b2dab.dll
2008-02-19 21:42 --------- d-----w C:\Programme\PC Connectivity Solution
2008-02-19 21:42 --------- d-----w C:\Programme\Nokia
2008-02-19 21:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-02-19 21:40 --------- d-----w C:\Programme\DIFX
2008-02-19 21:39 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\PC Suite
2008-02-18 17:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-17 10:00 --------- d-----w C:\Programme\EuphRO2
2008-02-14 17:37 --------- d-----w C:\Dokumente und Einstellungen\Max\Anwendungsdaten\AdobeUM
2008-01-14 12:52 81,920 ----a-w C:\WINDOWS\system32\frapsvid.dll
2007-12-28 21:05 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Dokumente und Einstellungen\Max\Desktopvirii ----

2008-03-27 10:44 4096 --a------ C:\Dokumente und Einstellungen\Max\Desktopvirii\Trojan-Downloader.Win32.Agent.v.exe
2008-03-27 10:44 4096 --a------ C:\Dokumente und Einstellungen\Max\Desktopvirii\Trojan-Downloader.Win32.Agent.t.exe
2008-03-27 10:44 4096 --a------ C:\Dokumente und Einstellungen\Max\Desktopvirii\Trojan-Downloader.Win32.Agent.r.exe
2008-03-27 10:44 4096 --a------ C:\Dokumente und Einstellungen\Max\Desktopvirii\Trojan-Downloader.Win32.Agent.p.exe
2008-03-27 10:44 4096 --a------ C:\Dokumente und Einstellungen\Max\Desktopvirii\Trojan-Downloader.Win32.Agent.bl.exe


(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 13:00 15360]
"msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [ ]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2007-11-13 15:48 3411968]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"czzkrkje"="C:\WINDOWS\system32\nobkdwfk.exe" [2008-03-28 01:20 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="C:\Programme\VIAudioi\HDADeck\HDeck.exe" [2006-07-17 14:36 684032]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 16:38 7700480]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-27 19:12 3142236]
"Flashget"="C:\Programme\FlashGet\flashget.exe" [2007-09-25 09:10 2007088]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"PrevxOne"="C:\Programme\Prevx2\PXConsole.exe" [2008-01-23 12:32 1997880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe]
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]
C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullGuard]
C:\Programme\BullGuard Software\BullGuard\bullguard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2006-03-24 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-09-29 13:01 67584 C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GnabTray]
--a------ 2006-09-29 13:33 282624 C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMEKRMIG6.1]
--a------ 2006-03-24 13:00 44032 C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2006-03-24 13:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2006-03-24 13:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-06 16:38 7700480 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-06 16:38 1617920 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2006-03-24 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2006-03-24 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler]
--a------ 2005-11-30 23:45 77892 C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-12-07 15:08 21686568 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\PlayOnline\\SquareEnix\\PlayOnlineViewer\\pol.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25067:TCP"= 25067:TCP:BitComet 25067 TCP
"25067:UDP"= 25067:UDP:BitComet 25067 UDP

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-03-27 12:26]
R2 GnabService;GnabService;c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe [2006-09-29 13:33]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-03-24 13:00]
S3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:16:14 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 01:26:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = C:\Programme\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-28 1:27:20
ComboFix-quarantined-files.txt 2008-03-28 00:27:13
ComboFix2.txt 2008-03-28 00:24:53
ComboFix3.txt 2008-03-27 19:29:11
15 Verzeichnis(se), 147,872,333,824 Bytes frei
17 Verzeichnis(se), 147,857,231,872 Bytes frei
.
2008-03-13 02:01:01 --- E O F ---



Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:28:28, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Medion\MEDIONbox\Program\GCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\nobkdwfk.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Max\Desktop\Spyware\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [czzkrkje] C:\WINDOWS\system32\nobkdwfk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161154479125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198562104147
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GnabService - Empolis GmbH - c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 7178 bytes


Ich hoffe mal, ich hab das so richtig gemacht *verunsichert*

#10 Hallo,

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O4 - HKCU\..\Run: [czzkrkje] C:\WINDOWS\system32\nobkdwfk.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

------------------------------------------------

OTMoveIt.exe
Download
http://www.virus-protect.org/artikel/tools/otmoveIt.html
OTMoveIt2[/url] zum Desktop

Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

Zitat

C:\WINDOWS\system32\nobkdwfk.exe
C:\Dokumente und Einstellungen\Max\Desktopvirii

im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#11 Zum Flashget noch folgendes,die downloadseite von Flashget wurde gehaeckt und wurden die Updates fuer das Program durch ein Trojaner ersetzt
http://bbs.flashget.com/en/viewtopic.php?f=15&t=9672
__________
MfG Argus

#12 C:\WINDOWS\system32\nobkdwfk.exe moved successfully.
C:\Dokumente und Einstellungen\Max\Desktopvirii moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03282008_030538


Also sollte ich flashget besser nicht drauf haben?

#13 Starte OTMoveIt2 nochmal
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes

Poste nochmal ein neuen log von HijackThis

Scanne mit Kaspersky und poste das log
http://virus-protect.org/onlinescan.html
__________
MfG Argus

#14 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:55:58, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
C:\Programme\Medion\MEDIONbox\Program\GCS.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Max\Desktop\Spyware\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161154479125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198562104147
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GnabService - Empolis GmbH - c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 7114 bytes


Bei Kaspersky ist meine testversion schon abgelaufen, gibts da ne alternative oder nen 'trick' ?

#15 Wenn Flashget nach September 2007 installiert worden ist und auch nach diesem Datum ein Update installiert worden ist dann .....
http://www.spywareinfo.com/downloads.php?cat=dlman#dlman

Malwarebytes Anti-Malware
http://virus-protect.org/artikel/tools/malwarebytes.html
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke >Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu


Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren


Testversion von ein Onlinescanner?

Zitat

Achtung! Neue Version des Online-Scanners: Kunden, die bereits den Kaspersky Online-Scanner mindestens einmal heruntergeladen haben, müssen die alte Version manuell löschen (etwa über die Löschen-Funktion der Software-Einstellungen von Windows). Anschließend kann die neue Version heruntergeladen werden. Wird die alte Version nicht gelöscht, erscheint eine Meldung über die ausgelaufene Lizenz, und das Programm ist nicht einsatzfähig.

Scanne mit NOD32
Haacke an:YES, I accept the Terms Of Use.
Klicke : Start.
Klicke : Install.
Klicke : Start.
Jetzt wird der Scanner Initialisiert und ge-updatet
Haacke “Remove found threats” NICHT an,
Klicke : Scan.
Am Ende klicke den Reiter Details
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Oder via C:\Programme\EsetOnlineScanner\log.txt
__________
MfG Argus