vbs-virus, hacked by..., verhinderung des Doppelklicks

#16 Hallo

««
Ausführen bei Windows XP :
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
den dr.webscan im abgesicherten modus machen, dazu drückst du F8, wenn der Rechner hochfährt.

««
du hast einen verseuchten USB-Stick angeschlossen, formatiere ihn oder nicht mehr benutzen....

Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

2.
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
--------

da du den stick dazu einstöpseln musst - wird es wohl notwendig sein, die ganze reinigungsprozedur (siehe oben) - noch mal zu machen
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo,

ich habe auch das bekannte Problem:
- kein Doppelklick auf das Laufwerk C möglich, außerdem hat sich die Schrift blau verfärbt
- habe eine vbs-Datei "Computername".vbs, die ich mir mit meinem USB-Stick von einem verseuchten Computer geholt habe
- im internet explorer erscheint oben im Fenster "Internetseite"-hacked by "Computername"
- habe einen Suchdurchlauf mit hijackThis Jack und Combofix durchgeführt. logs siehe unten.
- combofix konnte nachdem es die log-Datei angezeigt hat den Desktop nicht wieder von allein herstellen. Hat das irgendwas zu sagen? Habe den Computer dann neugestartet und dann war alles wieder da.
Ich hoffe sehr, dass mir jemand weiterhelfen kann?
Noch eine Bitte zum Schluss: bitte bei den Anweisungen, die ich durchführen soll so genau wie möglich beschreiben was ich wo machen soll. Habe nämlich nicht wirklich große Ahnung.
Danke schon mal im Vorraus!
Grüße.
****************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:54, on 25.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Rina\Desktop\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by FIPS
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ProgramPath] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FIPS] C:\WINDOWS\SYSTEM32\FIPS.vbs
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ruhezeit Aktivität vorziehen.bat
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe

--
End of file - 9521 bytes

**************************************
ComboFix 08-05-21.3 - Rina 2008-05-25 0:18:27.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Rina\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\SW45JZTV\www.inter-focus.cn
C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\SW45JZTV\www.inter-focus.cn\IFFLASHAD_PLAYER.sol
C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.inter-focus.cn
C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.inter-focus.cn\settings.sol
C:\WINDOWS\system32\uninstall.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-24 bis 2008-05-24 ))))))))))))))))))))))))))))))
.

2008-05-17 14:33 . 2008-05-17 14:33 <DIR> d-------- C:\Programme\Foto Brinke - Online
2008-05-17 13:39 . 2008-05-17 13:39 <DIR> d-------- C:\Programme\Avira
2008-05-09 11:30 . 2004-08-03 22:58 53,248 --a------ C:\WINDOWS\system32\reg.exe
2008-05-09 11:30 . 2004-08-03 22:58 53,248 --a--c--- C:\WINDOWS\system32\dllcache\reg.exe
2008-05-09 11:05 . 2008-05-25 00:16 4,198 -rahsc--- C:\FIPS.vbs
2008-05-09 01:53 . 2008-05-24 22:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-09 01:53 . 2008-05-09 01:53 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-09 01:11 . 2008-05-09 01:11 <DIR> d-------- C:\Programme\Olympus
2008-05-09 00:35 . 2008-05-09 00:35 <DIR> d-------- C:\WINDOWS\LastGood(2)
2008-05-06 22:11 . 2008-05-09 00:53 <DIR> d----c--- C:\WINDOWS\ie7(2)
2008-05-05 20:31 . 2008-05-05 20:32 973 --a------ C:\WINDOWS\active setup log.bak

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-24 22:16 4,198 --sha-r C:\WINDOWS\system32\FIPS.vbs
2008-05-20 19:19 --------- d-----w C:\Programme\LingoPad
2008-05-20 18:01 --------- d-----w C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\U3
2008-05-17 11:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-07 19:16 --------- d-----w C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\Skype
2008-04-21 14:44 --------- d-----w C:\Programme\Statistiklabor 3
2008-04-12 11:23 --------- d-----w C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\DivX
2008-04-12 09:55 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-04-12 09:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-12 09:53 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-04-12 09:49 --------- d-----w C:\Programme\iTunes
2008-04-12 09:48 --------- d-----w C:\Programme\iPod
2008-04-12 09:42 --------- d-----w C:\Programme\QuickTime
2008-04-11 13:07 --------- d-----w C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\PDFCreator
2008-04-11 11:45 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-04-08 10:27 --------- d-----w C:\Programme\PDFCreator
2008-04-08 10:23 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_6026.exe
2008-04-08 10:23 14,852 ----a-w C:\Programme\settings.dat
2008-04-08 10:23 --------- d-----w C:\Programme\PDFCreator Toolbar
2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 07:56 1,846,016 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:53 267,776 ----a-w C:\WINDOWS\system32\iertutil(3).dll
2007-06-27 18:02 110 ----a-w C:\Dokumente und Einstellungen\Rina\Anwendungsdaten\wklnhst.dat
2007-04-11 20:48 41,039,094 ----a-w C:\Programme\USBBackup.exe
2005-10-15 13:55 1,580 ----a-w C:\Programme\Sipgate X-Lite Installation starten.lnk
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-12-05 14:22 159744]
"ProgramPath"="C:\Programme\Power Manager\PM.exe" [2004-09-28 18:57 155648]
"EPSON Stylus D68 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.exe" [2005-01-25 06:00 98304]
"OdTray.exe"="C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" [2004-08-17 13:42 970810]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 23:32 53248]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-07 10:15 88363 C:\WINDOWS\AGRSMMSG.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-12 11:53 185896]
"FIPS"="C:\WINDOWS\SYSTEM32\FIPS.vbs" [2008-05-25 00:16 4198]
"VTTrayp"="VTtrayp.exe" [2004-11-12 12:28 143360 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-12 12:17 73728 C:\WINDOWS\SOUNDMAN.EXE]
"VTTimer"="VTTimer.exe" [2004-11-12 12:28 53248 C:\WINDOWS\system32\VTTimer.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]

C:\Dokumente und Einstellungen\Rina\Startmen�\Programme\Autostart\
Ruhezeit Aktivit„t vorziehen.bat [2007-11-29 17:55:34 42]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Device Detector 2.lnk - C:\Programme\Olympus\DeviceDetector\DevDtct2.exe [2006-05-02 19:57:01 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient]
odyEvent.dll 2005-11-05 20:45 106496 C:\WINDOWS\system32\odyEvent.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R3 DW90USB;DW90USB Device;C:\WINDOWS\system32\DRIVERS\DW90USB.sys [2001-04-10 15:17]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2003-10-24 16:04]
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2004-08-17 12:44]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41bb4483-4632-11da-af34-0014a5090f61}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FIPS.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50064350-9ffb-11dc-b240-0040cad3d579}]
\Shell\AutoRun\command - E:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50064351-9ffb-11dc-b240-0040cad3d579}]
\Shell\AutoRun\command - E:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69a387f2-ad9f-11dc-b25d-0040cad3d579}]
\Shell\AutoRun\command - E:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM

*Newly Created Service* - CATCHME
*Newly Created Service* - WINIO
.
Inhalt des "geplante Tasks" Ordners
"2007-09-11 19:31:53 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 00:23:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-25 0:27:08
ComboFix-quarantined-files.txt 2008-05-24 22:26:48

24 Verzeichnis(se), 18,775,924,736 Bytes frei
27 Verzeichnis(se), 20,096,700,416 Bytes frei

138 --- E O F --- 2008-05-16 18:51:44

#18 Hallo KatiR

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by FIPS

O4 - HKLM\..\Run: [FIPS] C:\WINDOWS\SYSTEM32\FIPS.vbs

2.
antivbs laden, entzippen und anwenden
http://virus-protect.org/zip/antivbs.zip





--------------------

3.

HINWEIS:
das Script wurde nur für diesen User erstellt und ist nicht auf anderen Systemen anwendbar

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41bb4483-4632-11da-af34-0014a5090f61}]

File::
C:\Autorun.inf
C:\FIPS.vbs
C:\WINDOWS\system32\FIPS.vbs

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

4.
PC neustarten

5.
scanne mit dr. web
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Sabina, vielen Dank für deine kompetente Hilfe. Rechner läuft wieder einwandfrei.
Grüße!

#20 Hallo,

ich habe auch das oben beschriebene Problem.

Kann mir jemand weiterhelfen?

Als Anhang die Log.txt Datei.

#21 @bkgt2
Poste mal die daten von: http://board.protecus.de/t23188.htm
__________
MfG Argus

#22 ahm, ich weiß nicht genau was ich alles noch posten muß, anbei noch ein paar Infos


07.09.2008 10:21 2.206 wpa.dbl
06.09.2008 09:10 397.560 perfh009.dat
06.09.2008 09:10 59.780 perfc009.dat
06.09.2008 09:10 411.266 perfh007.dat
06.09.2008 09:10 72.490 perfc007.dat
06.09.2008 09:10 952.874 PerfStringBackup.INI
06.09.2008 09:05 269 spupdwxp.log
06.09.2008 09:04 233.576 FNTCACHE.DAT
14.08.2008 20:10 608.968 TZLog.log
05.08.2008 20:11 15.888.504 MRT.exe
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui
18.07.2008 22:07 270.880 mucltui.dll
18.07.2008 22:07 29.728 mucltui.dll.mui
18.07.2008 22:07 210.976 muweb.dll
12.07.2008 10:57 6.945 jupdate-1.6.0_07-b06.log
07.07.2008 22:26 253.952 es.dll
05.07.2008 09:27 56 ezsidmv.dat
24.06.2008 18:42 74.240 mscms.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:46 147.968 dnsapi.dll
20.06.2008 19:46 247.296 mswsock.dll
18.06.2008 19:52 161.096 DivXCodecVersionChecker.exe
11.06.2008 02:07 524.288 DivXsm.exe
11.06.2008 02:07 10.152 dsm_de.qm
11.06.2008 02:07 4.816 divxsm.tlb
11.06.2008 02:07 3.596.288 qt-dx331.dll
11.06.2008 02:04 200.704 ssldivx.dll
11.06.2008 02:04 1.044.480 libdivx.dll
11.06.2008 02:03 416 dpl100.dll.manifest
11.06.2008 02:03 416 dtu100.dll.manifest
11.06.2008 02:03 81.920 dpl100.dll
11.06.2008 02:03 196.608 dtu100.dll
11.06.2008 02:03 3.051 dtu_de.qm
11.06.2008 02:03 8.523 dpude.qm
11.06.2008 02:03 294.912 dpu11.dll
11.06.2008 02:03 57.344 dpv11.dll
11.06.2008 02:03 53.248 dpuGUI10.dll
11.06.2008 02:03 344.064 dpus11.dll
11.06.2008 02:03 593.920 dpuGUI11.dll
11.06.2008 02:03 294.912 dpu10.dll
11.06.2008 02:03 802.816 divx_xx11.dll
11.06.2008 02:03 823.296 divx_xx0c.dll
11.06.2008 02:03 823.296 divx_xx07.dll
11.06.2008 02:03 815.104 divx_xx0a.dll
11.06.2008 02:03 683.520 DivX.dll
11.06.2008 02:03 630.784 divxdec.ax
11.06.2008 02:03 352.401 DivXMedia.ax
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:23, on 07.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\EyesAsiaHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\explorer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\PROGRA~1\LANGEN~2\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\systemmon32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Windows Live Messenger.lnk = ?
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bw+0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {615E124C-D8E7-4D52-B727-6F5AF390736D} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ???????????????? (EyesAsiaHelper) - ???? - C:\WINDOWS\system32\EyesAsiaHelper.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 22286 bytes

#23 Steht anders ganz deutlich beschrieben,mache 1,mache 2,usw usw

Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\systemmon32.exe

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte
__________
MfG Argus

#24 Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.06 Win-AppCare/Hiderun.827392
AntiVir 7.8.1.28 2008.09.05 SPR/DVD.Settec.1
Authentium 5.1.0.4 2008.09.06 -
Avast 4.8.1195.0 2008.09.06 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.07 BackDoor.Generic7.MRM
BitDefender 7.2 2008.09.07 Spyware.Dvd.Settec.DLL
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.07 Trojan.Rootkit.Settec
DrWeb 4.44.0.09170 2008.09.07 Trojan.Inject.239
eSafe 7.0.17.0 2008.09.07 -
eTrust-Vet 31.6.6072 2008.09.05 -
Ewido 4.0 2008.09.07 Rootkit.Settec
F-Prot 4.4.4.56 2008.09.06 -
F-Secure 8.0.14332.0 2008.09.07 Rootkit:W32/Settec.A
Fortinet 3.112.0.0 2008.09.07 Misc/Settec
GData 19 2008.09.07 Win32:Trojan-gen
Ikarus T3.1.1.34.0 2008.09.07 Virus.Win32.Trojan
K7AntiVirus 7.10.443 2008.09.05 -
Kaspersky 7.0.0.125 2008.09.07 -
McAfee 5378 2008.09.05 potentially unwanted program Settec
Microsoft 1.3903 2008.09.07 Program:Win32/Settec
NOD32v2 3423 2008.09.06 Win32/Rootkit.Settec
Norman 5.80.02 2008.09.05 -
Panda 9.0.0.4 2008.09.07 Application/Settec.A
PCTools 4.4.2.0 2008.09.06 Rootkit.Inject.A
Prevx1 V2 2008.09.07 Malicious Software
Rising 20.60.62.00 2008.09.07 -
Sophos 4.33.0 2008.09.07 -
Sunbelt 3.1.1610.1 2008.09.05 Settec
Symantec 10 2008.09.07 SecurityRisk.Settec
TheHacker 6.3.0.8.075 2008.09.06 -
TrendMicro 8.700.0.1004 2008.09.05 -
VBA32 3.12.8.5 2008.09.07 Win32.Rootkit.Settec
ViRobot 2008.9.5.1365 2008.09.06 -
VirusBuster 4.5.11.0 2008.09.06 Rootkit.Inject.A
Webwasher-Gateway 6.6.2 2008.09.05 Riskware.DVD.Settec.1
weitere Informationen
File size: 827392 bytes
MD5...: 4e7797f813c10cb172b3f219638c8114
SHA1..: 4b7e5d37875d48d1cf5a82ad1ba77fd93e8bc971
SHA256: 96668bab6c3a7ef994650782011f7234b9ba17238c9e5b105405a1de9bcfe663
SHA512: d1dc0e8c7aae003d5f9c470d889c45278fd50c8a66cb08937db15f78f1654404
03ce20e886e71957680ac75b1f28f1bc6f8706aa9e4988b3970645d14ed08e65
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x405b83
timedatestamp.....: 0x4365899b (Mon Oct 31 03:03:55 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18e52 0x19000 6.59 03220af00ecce1224eb0d4aaf49c6014
.rdata 0x1a000 0x52e0 0x6000 4.32 c5c5b4f0fe0df661b02d64496055b4c4
.data 0x20000 0x7adc 0x4000 2.56 4af1be3d81d9080ad4f5d9a792a5e25e
.rsrc 0x28000 0xa59f0 0xa6000 1.48 5bee4178837d16cd92dfbe71b3032c35

( 9 imports )
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> WINMM.dll: mciSendCommandA
> KERNEL32.dll: GetFullPathNameA, LocalAlloc, InitializeCriticalSection, TlsAlloc, DeleteCriticalSection, GlobalHandle, TlsFree, LeaveCriticalSection, GlobalReAlloc, EnterCriticalSection, TlsSetValue, LocalReAlloc, TlsGetValue, GlobalFlags, WritePrivateProfileStringA, GetProcessVersion, SetErrorMode, FileTimeToSystemTime, FileTimeToLocalFileTime, GetCPInfo, GetOEMCP, RtlUnwind, GetStartupInfoA, GetCommandLineA, ExitProcess, TerminateProcess, HeapFree, HeapAlloc, RaiseException, HeapReAlloc, HeapSize, GetACP, GetVolumeInformationA, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, MoveFileA, CloseHandle, ReleaseMutex, GetLastError, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, ReadFile, DuplicateHandle, MulDiv, SetLastError, GetVersion, lstrcatA, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, lstrcpyA, FindFirstFileA, FindClose, lstrcpynA, GetFileTime, GetFileSize, GetFileAttributesA, LocalFree, lstrlenA, InterlockedDecrement, InterlockedIncrement, GlobalUnlock, GlobalFree, CreateMutexA, GlobalLock, GlobalAlloc, GlobalDeleteAtom, GetProcAddress, lstrcmpA, lstrcmpiA, GetCurrentThread, GetCurrentThreadId, CreateEventA, WaitForSingleObject, GetLogicalDrives, WideCharToMultiByte, MultiByteToWideChar, GetComputerNameA, FreeLibrary, GetCurrentProcess, SystemTimeToFileTime, SetFileTime, CreateProcessA, FindResourceA, LoadResource, LockResource, SizeofResource, WriteFile, LoadLibraryA, SetFileAttributesA, DeleteFileA, GetSystemTime, GetVersionExA, GetWindowsDirectoryA, GetModuleFileNameA, GetTempPathA, GetCurrentProcessId, GetDriveTypeA, CreateFileA, DeviceIoControl, GetModuleHandleA, GetTimeZoneInformation
> USER32.dll: GetCapture, GetTopWindow, CopyRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, SendDlgItemMessageA, UpdateWindow, IsDialogMessageA, SetWindowTextA, ShowWindow, ClientToScreen, GetDC, ReleaseDC, BeginPaint, EndPaint, TabbedTextOutA, DrawTextA, GrayStringA, CharUpperA, LoadCursorA, GetClassNameA, PtInRect, GetSysColorBrush, LoadStringA, DestroyMenu, WinHelpA, GetSubMenu, GetMenuItemID, GetWindowTextA, GetDlgCtrlID, CreateWindowExA, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, DefWindowProcA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, EndDialog, UnregisterClassA, IsWindow, DestroyWindow, GetDlgItem, GetMenuCheckMarkDimensions, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, MessageBoxA, SetCursor, PostMessageA, FindWindowA, EnableWindow, KillTimer, SetTimer, IsIconic, GetSystemMetrics, GetClientRect, wsprintfA, GetClassInfoA, DrawIcon, SendMessageA, PostQuitMessage, RegisterClassA, GetMenuItemCount, GetMenu, LoadIconA, CreateDialogIndirectParamA, LoadBitmapA, SetActiveWindow
> GDI32.dll: GetClipBox, SetTextColor, SetBkColor, GetObjectA, DeleteDC, SaveDC, RestoreDC, SelectObject, GetStockObject, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, DeleteObject, GetDeviceCaps, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, CreateBitmap
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: OpenPrinterA, ClosePrinter, DocumentPropertiesA
> ADVAPI32.dll: RegCreateKeyExA, RegCloseKey, RegCreateKeyA, RegSetValueExA, RegOpenKeyExA
> COMCTL32.dll: -

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=4e7797f813c10cb172b3f219638c8114
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=665E2F5500E39534A00C0C8B4E37AE003C179F5D


das ist der VIRUS: RALPH-01268E81C.vbs

#25 bkgt2


Evtl dürfte es sich darum handeln:
http://www.heise.de/security/DVD-Kopiersperre-Alpha-DVD-Update-oder-Uninstaller--/news/meldung/71115

>>
Combofix entfernen:
Ausführen bei Windows XP :
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

>>
Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\systemmon32.exe

und wähle fix checked.

Starte den Rechner neu.


>>
Wende SDXIF im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss

#26 @ Tonstudio / Swiss

1000 Dank schon mal für die Tipps,
anbei der System Report, hoffe das ist das richtige "Ding"
Kenn mich nicht so gut aus

ach, die Fehlermeldung kommt nicht mehr. DANKE DANKE DANKE,
hoffe nur dass das so bleibt.
Vielleicht ist der Fehler auch noch auf einem USB Stick drauf?!?
Also wenn ich den mit dem PC verbinde und ihn formatiere passiert nichts oder?
(ich meine wird der Virus nicht wieder auf den PC übertragen)

#27 Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus

#28 Anbei der Dr.Web report

#29 bkgt2

Bitte wende Comoscan an und poste das Log:
http://virus-protect.org/artikel/tools/comboscan.html

Gruss Swiss

#30 Anbei die Log Datei

Gruß
Berni