Windows has detected spyware infection

#16 Alles wieder in Ordnung? Super, ich danke euch!

So aufwändig alles, wo habt ihr das nur gelernt?

LG
Andreas

#17 Guten Tag.

Ich habe dieses Problem ebenfalls. Leider ist der Link zu RVAXO down. Wo kann ich es alternativ herbekommen. Google verweist immer nur auf die selbe Seite wie eure FAQ. Hat das jemand und kann es mir zukommen lassen?#

Danke und Gruß

#18 Hallo hammerklau
Arbeite diese Punkte (erstmal1-4) ab, die zu verwendende Software hat sich seit Beginn des Themas hier etwas geändert.
http://board.protecus.de/t23188.htm

#19 Hallo hammerklau

RVAXO ist eingestellt, gibt es nicht mehr.
versuche ein, log von Combofix zu posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo Sabina,

ich habe mal ein Combofix Log angehängt. zuvor habe ich CCleaner und Malwarebytes laufen lassen.

ComboFix 08-08-12.01 - hamerklau 2008-08-13 12:03:09.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.170 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\hammerklau\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 ))))))))))))))))))))))))))))))
.

2008-08-13 11:42 . 2008-08-13 11:42 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 11:42 . 2008-08-13 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\hammerklau\Anwendungsdaten\Malwarebytes
2008-08-13 11:42 . 2008-08-13 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 11:42 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 11:42 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-13 11:32 . 2008-08-13 11:32 <DIR> d-------- C:\Programme\CCleaner
2008-07-29 13:16 . 2008-07-29 13:16 41,472 --a------ C:\WINDOWS\qq859pu3.exe
2008-07-23 18:01 . 2008-07-23 18:01 784 --a------ C:\Dokumente und Einstellungen\hammerklau\Anwendungsdaten\mpauth.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 09:15 9,722,720 ----a-w C:\spybotsd152.exe
2008-01-17 13:39 9,051,581 -c--a-w C:\Programme\snspro_rd_ger.exe
2008-01-17 13:38 423,736 -c--a-w C:\Programme\avgarkt-setup-1.1.0.42.exe
2008-01-17 13:37 502,055 -c--a-w C:\Programme\gmer.zip
2007-03-26 14:46 5,085 -c--a-w C:\WINDOWS\inf\SET96.tmp
2007-03-26 14:46 5,085 -c--a-w C:\WINDOWS\inf\SET1B6.tmp
2007-03-26 14:46 5,085 -c--a-w C:\WINDOWS\inf\SET160.tmp
2007-03-26 14:46 5,085 -c--a-w C:\WINDOWS\inf\SET156.tmp
2007-03-26 14:46 5,085 -c--a-w C:\WINDOWS\inf\SET14A.tmp
.

((((((((((((((((((((((((((((( snapshot@2008-06-03_14.59.12.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2000-08-31 06:00:00 28,160 ----a-w C:\WINDOWS\Nircmd.exe
+ 2000-08-31 06:00:00 28,672 ----a-w C:\WINDOWS\Nircmd.exe
- 2008-03-31 08:36:15 47,086 -c--a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-03 12:58:48 47,086 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-03-31 08:36:16 38,938 -c--a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-03 12:58:48 38,938 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-31 08:36:16 313,884 -c--a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-03 12:58:48 313,884 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-03-31 08:36:17 308,556 -c--a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-03 12:58:48 308,556 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2005-09-28 12:46:30 1,184,984 ----a-w C:\WINDOWS\system32\wvc1dmod.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:43 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\System32\igfxtray.exe" [2006-02-07 07:39 94208]
"igfxhkcmd"="C:\WINDOWS\System32\hkcmd.exe" [2006-02-07 07:36 77824]
"igfxpers"="C:\WINDOWS\System32\igfxpers.exe" [2006-02-07 07:40 118784]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-04-01 10:52 1368064]
"QCWLICON"="C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE" [2005-03-18 03:07 86016]
"TPHOTKEY"="C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2002-12-31 16:00 94208]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-02-17 20:32 67184]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-04-24 17:21 120640]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]
"Subst_U_Local"="C:\WINDOWS\SUBSTU.BAT" [2000-08-31 08:43 102]
"DHL_Icon"="C:\Programme\dhl\dhl_icon\dhl_icon.exe" [2003-01-10 15:16 110592]
"LDAP_Patch"="C:\Programme\Netscape\Communicator\Program\nsprefs_upd.EXE" [2005-01-21 13:18 881790]
"WinVNC"="c:\windows\WinVNC.exe" [2001-03-16 15:21 208896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-28 15:56 385024]
"LLPush"="C:\Programme\iLinc\Client77\bin\LLPush.exe" [2005-07-04 13:46 262144]
"SchedulingAgent"="mstinit.exe" [2004-06-08 23:50 10752 C:\WINDOWS\system32\mstinit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 04:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSetTaskbar"= 1 (0x1)
"NoNetConnectDisconnect"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2005-03-18 03:07 262144 C:\WINDOWS\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2002-12-31 16:00 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R1 ANC;ANC;C:\WINDOWS\System32\drivers\ANC.SYS [2005-03-18 03:07]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\System32\drivers\IBMBLDID.SYS [2005-03-18 03:07]
R2 PresenTense;PresenTense Time Client;C:\Programme\PresenTense\PresenTense.exe [1999-10-04 05:10]
R2 r_server;Remote Administrator Service;C:\windows\System32\r_server.exe [2001-07-24 17:15]
R3 AEXPAM;Philips SmartManage Service;C:\WINDOWS\System32\Drivers\aexpamdrv.sys [2005-12-20 10:57]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;D:\oracle\ora81\BIN\ONRSD.EXE [2000-10-19 11:55]
S3 QCNDISIF;QCNDISIF;C:\WINDOWS\System32\drivers\qcndisif.SYS [2005-03-18 03:07]
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.intra.dpwn.net
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R1 -: HKCU-Internet Settings,ProxyServer = hxxp://fracoproxy.fra-co.de.dhl.com:8080
R1 -: HKCU-Internet Settings,ProxyOverride = <local>;*.dhl.com
O8 -: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 -: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 -: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 -: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 12:08:30
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tphklock.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\QCONSVC.EXE
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\acrodist.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-13 12:10:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-13 10:10:40
ComboFix2.txt 2008-06-03 12:59:40

Pre-Run: 1,871,976,960 Bytes frei
Post-Run: 1,855,414,272 Bytes frei

151


hift das weiter?
Gruß

#21 Poste der Vollständigkeit halber auch das Log von Malwarebyte (befindet sich im Programmordner im Unterordner "Logs") sowie ein HijackThis Log
http://virus-protect.org/hjtkurz.html
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#22 Hallo,hammerklau

«
also das hier muss gelöscht werden:
C:\WINDOWS\qq859pu3.exe

«
das in der registry auf 0 ändern

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSetTaskbar"= 1
"NoNetConnectDisconnect"= 1
http://www.windowspage.de/frame.php?http://www.windowspage.de/gemeinsame/netzwerk/nonetconnectdisconnect.html

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo Sabina,

habe ich erledigt, läuft alles wieder.

Vielen Dank für eure Hilfe.

#24 Hallo,hammerklau
ich habe noch mal nachgegraben: das hier muss unbedingt auch raus !
C:\Programme\snspro_rd_ger.exe
diese safensoft-Seite, von der es stammt, scheint gefälschte Programme zu installieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hallo Sabina,

vielen Dank für den Hinweis. Habs auch prompt erledigt. War zwar eine Empfehlung aus irgendeiner Computer Zeitschrift aber da ist wohl auch oft gefährliches Halbwissen unterwegs.

#26 Hallo,
sehe das das Thema schon etwas älter ist, ich habe auch dieses Problem, wäre nett wenn man mich nochmal durch dieses thema leiten könnte, weil dieser thread etwas verwirrt und ich auch nicht soviel Ahnung davon habe, danke im vorraus.

#27 Hallo nface

«
wende cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

«
scanne mit Malwarebytes, lasse alles löschen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html

«
Combofix laden - poste den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#28 So hab das alles gemacht und hier ist der Combofix Log:

ComboFix 08-10-11.04 - Navid 2008-10-13 11:14:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1593 [GMT 2:00]
ausgeführt von:: D:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
C:\WINDOWS\system32\BReWErS.dll
C:\WINDOWS\system32\tmp97.tmp
C:\WINDOWS\system32\tmp98.tmp

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Service_oreans32


((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-13 02:34 . 2008-10-13 02:34 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-13 02:34 . 2008-10-13 02:34 <DIR> d-------- C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\Malwarebytes
2008-10-13 02:34 . 2008-10-13 02:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-13 02:34 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-13 02:34 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-13 02:21 . 2008-10-13 02:21 <DIR> d-------- C:\Programme\CCleaner
2008-10-12 23:35 . 2008-10-12 23:35 267 --a------ C:\WINDOWS\wininit.ini
2008-10-12 23:17 . 2008-10-12 23:17 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-12 23:17 . 2008-10-13 02:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-12 21:33 . 2008-10-13 11:07 <DIR> d-------- C:\Programme\emcipxf
2008-10-12 21:32 . 2008-10-13 11:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\svabmfmj
2008-10-10 13:12 . 2008-10-10 13:12 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-10 13:12 . 2008-10-10 13:12 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-10 13:12 . 2008-10-10 13:12 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-10 13:12 . 2008-10-10 13:12 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-10 13:08 . 2008-10-10 13:13 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-10 13:00 . 2008-10-10 13:00 <DIR> d-------- C:\WINDOWS\EHome
2008-10-04 14:53 . 2008-10-04 14:53 <DIR> d-------- C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\GarageGames
2008-09-26 21:55 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2008-09-26 21:55 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-09-26 21:55 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-09-26 21:55 . 2004-08-03 22:29 452,736 --------- C:\WINDOWS\system32\drivers\mtxparhm.sys
2008-09-26 21:55 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-09-26 21:55 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-09-26 21:55 . 2004-08-03 22:41 126,686 --------- C:\WINDOWS\system32\drivers\mtlmnt5.sys
2008-09-26 21:55 . 2004-07-17 11:35 67,866 --------- C:\WINDOWS\system32\drivers\netwlan5.img
2008-09-26 21:55 . 2004-08-03 22:41 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-09-20 09:59 . 2008-09-20 09:59 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\ATI
2008-09-19 18:57 . 2008-09-19 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\ATI
2008-09-19 18:45 . 2006-12-27 13:22 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-09-19 18:44 . 2008-09-19 18:50 <DIR> d-------- C:\Programme\ATI Technologies
2008-09-19 18:43 . 2006-12-27 07:46 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-09-19 18:43 . 2006-08-23 11:26 655,842 -ra------ C:\WINDOWS\system32\drivers\ativcaxx.cpa
2008-09-19 18:43 . 2006-12-27 08:01 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll
2008-09-19 18:43 . 2006-12-22 09:43 145,112 -ra------ C:\WINDOWS\system32\atiicdxx.dat
2008-09-19 18:43 . 2006-12-27 08:26 38,928 -ra------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2008-09-19 18:43 . 2006-11-21 11:48 6,973 -ra------ C:\WINDOWS\system32\atifglpf.xml
2008-09-19 18:43 . 2006-08-23 11:26 2,096 -ra------ C:\WINDOWS\system32\drivers\ativdkxx.vp
2008-09-19 18:43 . 2006-08-23 11:26 2,096 -ra------ C:\WINDOWS\system32\drivers\ativckxx.vp
2008-09-19 18:43 . 2006-08-23 11:26 929 -ra------ C:\WINDOWS\system32\drivers\ativcaxx.vp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 09:10 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\OpenOffice.org2
2008-10-12 21:35 --------- d-----w C:\Programme\Everest Poker
2008-10-11 15:20 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\mIRC
2008-10-11 12:28 --------- d-----w C:\Programme\mIRC
2008-10-07 23:14 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\Hamachi
2008-09-19 17:04 --------- d-----w C:\Programme\SpeedFan
2008-09-19 16:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-13 14:57 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\teamspeak2
2008-09-01 12:35 --------- d-----w C:\Programme\SystemRequirementsLab
2008-08-28 20:09 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\InstallShield
2008-08-27 12:24 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\Ubisoft
2008-08-27 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-08-27 11:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
2008-08-27 11:25 --------- d-----w C:\Programme\OpenAL
2008-08-25 15:44 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2008-08-24 09:02 --------- d-----w C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\Ventrilo
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\Navid\OctoshapeClient.exe" [2006-02-13 214648]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Veoh"="D:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 3587120]
"DAEMON Tools Lite"="D:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2007-03-23 2173744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 385024]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"nwiz"="nwiz.exe" [2008-05-16 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\Navid\Startmen�\Programme\Autostart\
Miranda IM.lnk - C:\Programme\Miranda IM\miranda32.exe [2008-05-07 557652]
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= msaud32_divx.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\Miranda IM\\miranda32.exe"=
"D:\\Programme\\Starcraft Brood War\\StarCraft.exe"=
"C:\\Programme\\Octoshape Streaming Services\\Navid\\OctoshapeClient.exe"=
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\team fortress 2\\hl2.exe"=
"D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"D:\\Programme\\FlashGet\\flashget.exe"=
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\counter-strike\\hl.exe"=
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\condition zero deleted scenes\\hl.exe"=
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\condition zero\\hl.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Programme\\Kaiba Corp VDS\\KCVDS.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"D:\\Programme\\CS 1.6\\hl.exe"=
"D:\\Programme\\FlatOut Ultimate Carnage\\Fouc.exe"=
"D:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"=
"D:\\Programme\\EA Games\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"D:\\Programme\\Flat Out 2\\FlatOut2.exe"=
"D:\\Programme\\GRID\\GRID.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 wg121;NETGEAR WG121 802.11g Wireless USB2.0 Adapter;C:\WINDOWS\system32\DRIVERS\wg121nd5.sys [2003-11-28 337216]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys [2003-11-03 803008]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Navid\LOKALE~1\Temp\DMSKSSRh.sys [ ]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b5ff58f-b65e-11dc-9685-806d6172696f}]
\Shell\AutoRun\command - E:\Setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-cfgenadm - C:\WINDOWS\system32\mpepyfuz.exe
HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKCU-Run-AdmChkSys - C:\WINDOWS\system32\qjshgdgx.exe
HKCU-Run-<NO NAME> - (no file)
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_Antispyware\XP_AntiSpyware.exe
HKLM-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKLM-Run-CmUsbSound - cmcnfgu.cpl
SSODL-WebUtilSys-{13367E9D-76D8-042C-53C2-099593A7087A} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\Mozilla\Firefox\Profiles\esdv8c4s.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 11:26:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.bin
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\dllhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 11:36:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-13 09:36:03

Vor Suchlauf: 13 Verzeichnis(se), 10.301.968.384 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 10,246,328,320 Bytes frei

203 --- E O F --- 2008-10-11 23:25:44

#29 Hallo nface

1.
deaktiviere kurzzeitig
Spybot - Search & Destroy\TeaTimer.exe

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Folders to delete:
C:\Programme\emcipxf
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\svabmfmj

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

-----------------------------------------------

lade sdfix , wende es im abgesicherten Modus an + poste nach Neustart den report hier
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Avenger Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\emcipxf" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\svabmfmj" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



SDFix Log:

SDFix: Version 1.235
Run by Navid on 13.10.2008 at 12:20

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 12:26:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:3d,49,96,6c,b9,5b,d1,ae,6e,47,eb,92,42,6a,c2,49,42,9f,f0,96,d0,..
"p0"="D:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,61,24,8f,fb,4f,b3,80,55,89,fe,50,bc,7f,60,a6,ba,e7,..
"khjeh"=hex:99,a6,65,80,d3,cf,c3,8b,74,10,f3,63,cc,77,44,fb,93,88,9c,fa,df,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:47,bf,26,e2,c1,8d,a9,e3,4b,4b,4b,13,1c,37,65,b0,bb,cc,24,1e,58,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:3d,49,96,6c,b9,5b,d1,ae,6e,47,eb,92,42,6a,c2,49,42,9f,f0,96,d0,..
"p0"="D:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,61,24,8f,fb,4f,b3,80,55,89,fe,50,bc,7f,60,a6,ba,e7,..
"khjeh"=hex:99,a6,65,80,d3,cf,c3,8b,74,10,f3,63,cc,77,44,fb,93,88,9c,fa,df,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:47,bf,26,e2,c1,8d,a9,e3,4b,4b,4b,13,1c,37,65,b0,bb,cc,24,1e,58,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:3d,49,96,6c,b9,5b,d1,ae,6e,47,eb,92,42,6a,c2,49,42,9f,f0,96,d0,..
"p0"="D:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,61,24,8f,fb,4f,b3,80,55,89,fe,50,bc,7f,60,a6,ba,e7,..
"khjeh"=hex:99,a6,65,80,d3,cf,c3,8b,74,10,f3,63,cc,77,44,fb,93,88,9c,fa,df,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:47,bf,26,e2,c1,8d,a9,e3,4b,4b,4b,13,1c,37,65,b0,bb,cc,24,1e,58,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000041
"TracesSuccessful"=dword:00000006

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"="C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Miranda IM\\miranda32.exe"="C:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM"
"D:\\Programme\\Starcraft Brood War\\StarCraft.exe"="D:\\Programme\\Starcraft Brood War\\StarCraft.exe:*:Enabled:Starcraft"
"C:\\Programme\\Octoshape Streaming Services\\Navid\\OctoshapeClient.exe"="C:\\Programme\\Octoshape Streaming Services\\Navid\\OctoshapeClient.exe:*:Enabled:OctoshapeClient"
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\team fortress 2\\hl2.exe"="D:\\Programme\\Steam\\steamapps\\xdunlopx\\team fortress 2\\hl2.exe:*:Enabled:hl2"
"D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"D:\\Programme\\FlashGet\\flashget.exe"="D:\\Programme\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\counter-strike\\hl.exe"="D:\\Programme\\Steam\\steamapps\\xdunlopx\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\condition zero deleted scenes\\hl.exe"="D:\\Programme\\Steam\\steamapps\\xdunlopx\\condition zero deleted scenes\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\Programme\\Steam\\steamapps\\xdunlopx\\condition zero\\hl.exe"="D:\\Programme\\Steam\\steamapps\\xdunlopx\\condition zero\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"D:\\Programme\\Kaiba Corp VDS\\KCVDS.exe"="D:\\Programme\\Kaiba Corp VDS\\KCVDS.exe:*:Enabled:KCVDS"
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"="C:\\Programme\\TeamViewer3\\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe:*:Enabled:Nexon Game Manager"
"D:\\Programme\\CS 1.6\\hl.exe"="D:\\Programme\\CS 1.6\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\Programme\\FlatOut Ultimate Carnage\\Fouc.exe"="D:\\Programme\\FlatOut Ultimate Carnage\\Fouc.exe:*:Enabled:FlatOut Ultimate Carnage"
"D:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\game.dat"="D:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\game.dat:*:Enabled:game"
"D:\\Programme\\EA Games\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"="D:\\Programme\\EA Games\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"
"D:\\Programme\\Flat Out 2\\FlatOut2.exe"="D:\\Programme\\Flat Out 2\\FlatOut2.exe:*:Enabled:FlatOut2"
"D:\\Programme\\GRID\\GRID.exe"="D:\\Programme\\GRID\\GRID.exe:*:Enabled:GRID"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\Combat Arms\\CombatArms.exe"="D:\\Programme\\Combat Arms\\CombatArms.exe:*Enabled:CombatArms.exe"
"D:\\Programme\\Combat Arms\\Engine.exe"="D:\\Programme\\Combat Arms\\Engine.exe:*Enabled:Engine.exe"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 7 Jul 2008 2,156,368 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Fri 9 May 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 27 Aug 2008 1,301 ...HR --- "C:\Dokumente und Einstellungen\Navid\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!