Windows has detected spyware infection

#1 Hallo,

auch ich hatte Pech und habe mir wohl - mal wieder - Spyware eingefangen. Es erscheint in der Taskleiste der bekannte rote Kreis mit weißem Kreuz und dem Text

"Your computer is infected! Windows has detected spyware infection! It is recommended to use special antispyware tools to pervent data loss. Windows will now download and install the most up-to-date antispyware for you. Click here to protect your computer from spyware!"

Außerdem lädt ständig Google als Startseite, obwohl ich immer eine leere Seite einstelle.

Den alten Tipp mit Spybot kenne ich schon. Komischerweise läuft das Programm nicht... Ob die Spyware es erkennt und blockiert? Hijackthis musste ich auch umbenennen, um es ans Laufen zu kriegen. Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:09, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ISW\ewetel.dsl\signup\Tray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andschu\Desktop\HJT\HJT202.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.ewetel.de:8080
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://195.145.249.40/trans06/viewer/ActiveXCab/mgaxctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191274285406
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37890.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7A3F9C-2D91-4D1F-86F0-FBC281B665E9}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{210666CC-8772-4284-B9BC-B082C48AF86F}: NameServer = 212.6.108.140,212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7A3F9C-2D91-4D1F-86F0-FBC281B665E9}: NameServer = 212.6.108.140 212.6.108.141
O20 - AppInit_DLLs: cru629.dat
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Dokumente und Einstellungen\Andschu\nax.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IDriverT - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: RDSessMgr - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: RSVP - Unknown owner - C:\Dokumente und Einstellungen\Andschu\nax.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6057 bytes

Bin kein Computerexperte (nur geübter Anwender) und komme nicht weiter. Könnt Ihr mir helfen?

Vielen Dank!
Andreas

Zitat

#2 Hallo,

wende cleaner an
http://www.virus-protect.org/ccleaner.html

«
wende rvaxo an + poste den report
http://www.virus-protect.org/artikel/tools/rvaxo.html

««
wende Combofix an + poste den report
http://www.virus-protect.org/artikel/tools/combofix1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hm, es scheint ein Virus namens Braviax gewesen zu sein. Gelöscht habe ich ihn, ob es erfolgreich war?

Report von rvaxo:

---RVAXO.exe Updated: 2008-04-04---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\univrs32.dat
C:\1E.tmp
C:\1F.tmp
C:\20.tmp
C:\4A.tmp
C:\68.tmp

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------


Report von Combofix:

ComboFix 08-04-03.5 - Andschu 2008-04-04 18:20:49.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Andschu\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
[color=purple]The following files were disabled during the run:[/color]
C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll


(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Temp\gbRve12
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\qomlkjj.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MICROSOFT_INTERNET_EXPLORER


((((((((((((((((((((((( Dateien erstellt von 2008-03-04 bis 2008-04-04 ))))))))))))))))))))))))))))))
.

2008-04-04 17:51 . 2008-04-04 17:51 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-04 17:34 . 2008-04-04 17:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-04-04 17:27 . 2008-04-04 17:27 <DIR> d-------- C:\Programme\Yahoo!
2008-04-04 17:24 . 2008-04-04 17:24 <DIR> d-------- C:\Programme\CCleaner
2008-04-03 20:30 . 2008-04-03 20:30 <DIR> d-------- C:\WINDOWS\Content.IE5
2008-04-03 19:37 . 2008-04-03 19:37 <DIR> d-------- C:\Programme\GUSTAV
2008-04-02 23:17 . 2008-04-02 23:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-04-02 22:24 . 2008-04-04 15:35 6,656 --a------ C:\WINDOWS\system32\univrs32.dat
2008-04-02 22:01 . 2008-04-02 22:01 <DIR> d-------- C:\Programme\Lavasoft
2008-04-02 22:01 . 2008-04-02 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-02 21:33 . 2008-04-02 21:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-04-02 21:33 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-04-02 21:33 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-02 20:06 . 2008-04-02 20:06 <DIR> d-------- C:\Programme\Trend Micro
2008-04-02 19:54 . 2008-04-02 21:23 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-30 18:19 . 2008-03-30 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
2008-03-21 23:45 . 2008-04-03 19:24 <DIR> d-------- C:\WINDOWS\system32\aqVreo01
2008-03-21 23:45 . 2008-04-04 18:20 <DIR> d-------- C:\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 16:24 12,456,224 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-04 16:23 170,960 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-03 19:58 --------- d-----w C:\Programme\MM_Bahn_V3
2008-04-03 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-03 17:34 --------- d-----w C:\Programme\SPBT
2008-03-31 17:28 --------- d-----w C:\Dokumente und Einstellungen\Andschu\Anwendungsdaten\OpenOffice.org2
2008-03-30 16:17 --------- d-----w C:\Programme\Gemeinsame Dateien\AAV
2008-03-22 12:03 --------- d-----w C:\Programme\IrfanView
2008-03-21 23:21 --------- d-----w C:\Programme\Soulseek
2008-02-28 18:13 --------- d-----w C:\Programme\audiograbber
2008-02-15 13:33 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-02-10 00:37 319 ----a-w C:\drmHeader.bin
2007-05-22 17:33 17,658,844 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_05_21_22_46_34_full.dmp.zip
2007-05-22 17:33 149,278 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_05_21_22_46_16_small.dmp.zip
2006-06-27 16:51 284 ----a-w C:\Dokumente und Einstellungen\Andschu\Anwendungsdaten\ViewerApp.dat
2007-06-14 22:10 26,144 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"SpybotSD TeaTimer"="C:\Programme\GUSTAV\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-04 20:29 185896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-05 17:42 249896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-01-23 14:47 847872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 15:32]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-08-06 20:40]
S2 PKTIBLVK;PKTIBLVK;C:\WINDOWS\system32\pktiblvk.lka []
S3 kwwalpgr;kwwalpgr;C:\DOKUME~1\Andschu\LOKALE~1\Temp\kwwalpgr.sys []
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-08-06 20:40]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 18:24:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PKTIBLVK]
"ImagePath"="\??\C:\WINDOWS\system32\pktiblvk.lka"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-04 18:29:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-04 16:29:04
ComboFix2.txt 2007-06-16 17:05:19
9 Verzeichnis(se), 3,040,538,624 Bytes frei
11 Verzeichnis(se), 3,055,210,496 Bytes frei

#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread

Poste danach nochmal ein log von ComboFix und Hijack This

Note:Hijack This sollte nicht auf den Desktop stehen!
(C:\Dokumente und Einstellungen\Andschu\Desktop\HJT\HJT202.exe)
__________
MfG Argus

#5 Alles brav gemacht:

SDFix:


SDFix: Version 1.166

Run by Andschu on 04.04.2008 at 19:47

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing SharedAccess Service

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\mrdt.log - Deleted



Folder C:\WINDOWS\system32\aqVreo01 - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 20:17:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\GUSTAV\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\GUSTAV\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\GUSTAV\TeaTimer.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\SPBT\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\SPBT\SpybotSD.exe"
Fri 23 Jun 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!



ComboFix:

ComboFix 08-04-03.5 - Andschu 2008-04-04 20:23:49.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.69 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andschu\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-04 bis 2008-04-04 ))))))))))))))))))))))))))))))
.

2008-04-04 19:45 . 2008-04-04 19:46 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-04 19:45 . 2008-04-04 20:20 <DIR> d-------- C:\SDFix
2008-04-04 18:32 . 2008-04-04 18:32 <DIR> d-------- C:\RVAXO
2008-04-04 18:30 . 2008-04-04 11:44 777,783 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-04-04 18:30 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-04-04 17:51 . 2008-04-04 17:51 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-04 17:27 . 2008-04-04 19:31 <DIR> d-------- C:\Programme\Yahoo!
2008-04-04 17:24 . 2008-04-04 17:24 <DIR> d-------- C:\Programme\CCleaner
2008-04-03 20:30 . 2008-04-03 20:30 <DIR> d-------- C:\WINDOWS\Content.IE5
2008-04-03 19:37 . 2008-04-03 19:37 <DIR> d-------- C:\Programme\GUSTAV
2008-04-03 18:45 . 2008-04-04 18:16 <DIR> d-------- C:\HJT
2008-04-02 23:17 . 2008-04-02 23:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-04-02 22:01 . 2008-04-02 22:01 <DIR> d-------- C:\Programme\Lavasoft
2008-04-02 22:01 . 2008-04-02 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-02 21:33 . 2008-04-02 21:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-04-02 21:33 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-04-02 21:33 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-02 20:06 . 2008-04-02 20:06 <DIR> d-------- C:\Programme\Trend Micro
2008-04-02 19:54 . 2008-04-02 21:23 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-30 18:19 . 2008-03-30 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
2008-03-21 23:45 . 2008-04-04 18:20 <DIR> d-------- C:\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 18:27 12,606,752 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-04 17:43 46,080 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-04-04 17:43 172,736 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-04 16:31 138,752 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-04-04 16:31 1,368,064 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-04-03 19:58 --------- d-----w C:\Programme\MM_Bahn_V3
2008-04-03 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-03 17:34 --------- d-----w C:\Programme\SPBT
2008-03-31 17:28 --------- d-----w C:\Dokumente und Einstellungen\Andschu\Anwendungsdaten\OpenOffice.org2
2008-03-30 16:17 --------- d-----w C:\Programme\Gemeinsame Dateien\AAV
2008-03-22 12:03 --------- d-----w C:\Programme\IrfanView
2008-03-21 23:21 --------- d-----w C:\Programme\Soulseek
2008-02-28 18:13 --------- d-----w C:\Programme\audiograbber
2008-02-15 13:33 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-02-10 00:37 319 ----a-w C:\drmHeader.bin
2007-05-22 17:33 17,658,844 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_05_21_22_46_34_full.dmp.zip
2007-05-22 17:33 149,278 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_05_21_22_46_16_small.dmp.zip
2006-06-27 16:51 284 ----a-w C:\Dokumente und Einstellungen\Andschu\Anwendungsdaten\ViewerApp.dat
2007-06-14 22:10 26,144 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((( snapshot@2008-04-04_18.28.37.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-04 04:07:33 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-04-04 17:46:07 6,402,048 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-04-04 17:46:07 270,336 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-04-04 04:07:33 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-04-04 17:46:00 6,402,048 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-04-04 17:46:00 270,336 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2007-07-30 17:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
+ 2008-04-04 18:19:40 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_b60.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"SpybotSD TeaTimer"="C:\Programme\GUSTAV\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-04 20:29 185896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-05 17:42 249896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 15:32]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-08-06 20:40]
S2 PKTIBLVK;PKTIBLVK;C:\WINDOWS\system32\pktiblvk.lka []
S3 kwwalpgr;kwwalpgr;C:\DOKUME~1\Andschu\LOKALE~1\Temp\kwwalpgr.sys []
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-08-06 20:40]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 20:27:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PKTIBLVK]
"ImagePath"="\??\C:\WINDOWS\system32\pktiblvk.lka"
.
Zeit der Fertigstellung: 2008-04-04 20:28:32
ComboFix-quarantined-files.txt 2008-04-04 18:28:27
ComboFix2.txt 2008-04-04 16:29:13
ComboFix3.txt 2007-06-16 17:05:19
12 Verzeichnis(se), 2,978,996,224 Bytes frei
14 Verzeichnis(se), 2,966,401,024 Bytes frei



HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:48, on 04.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\HJT\HJT202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.ewetel.de:8080
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\GUSTAV\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\GUSTAV\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\GUSTAV\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://195.145.249.40/trans06/viewer/ActiveXCab/mgaxctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191274285406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207330028171
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37890.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{210666CC-8772-4284-B9BC-B082C48AF86F}: NameServer = 212.6.108.140,212.6.108.141
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Dokumente und Einstellungen\Andschu\nax.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IDriverT - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RDSessMgr - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: RSVP - Unknown owner - C:\Dokumente und Einstellungen\Andschu\nax.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6050 bytes

#6 Dein Java software ist veraltet,
Download jre-6u5-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 5
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u5-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u5-windows-i586-p.exe


Entderne auf C:\SDFix\backups

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O23 - Service: Adobe LM Service - Unknown owner - C:\Dokumente und Einstellungen\Andschu\nax.exe (file missing)
O23 - Service: RDSessMgr - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: RSVP - Unknown owner - C:\Dokumente und Einstellungen\Andschu\nax.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Start-->Ausführen kopiere rein:
sc stop "Adobe LM Service"
Klicke OK

Nochmal dasselbe kopiere rein:

Start-->Ausführen kopiere rein:
sc delete "Adobe LM Service"
Klicke OK

Mach dasselbe mit

[b sc stop "Microsoft Internet Explorer" [/b]
sc delete "Microsoft Internet Explorer"

[b sc stop "RDSessMgr" [/b]
sc delete "RDSessMgr"

[b sc stop "RSVP" [/b]
sc delete "RSVP"

Rechner neu Starten

Antivir
http://board.protecus.de/t23979.htm
Nach dem Scann die Heuristik auf "mittel" zurückdrehen
__________
MfG Argus

#7 Alles erledigt, Ergebnis des AntiVir-Scan:



AntiVir PersonalEdition Classic


Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '14' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Programme>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{E41AA0C2-D88E-4CA8-A4A3-335B0BE95C34}\RP563\A0197175.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.VB.dkg
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{E41AA0C2-D88E-4CA8-A4A3-335B0BE95C34}\RP563\A0197176.sys
[FUND] Ist das Trojanische Pferd TR/Agent.36352.28
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{E41AA0C2-D88E-4CA8-A4A3-335B0BE95C34}\RP563\A0197177.sys
[FUND] Ist das Trojanische Pferd TR/Agent.36352.28
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <Dateien>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Mediadaten>


Ende des Suchlaufs: Samstag, 5. April 2008 01:33
Benötigte Zeit: 1:04:31 min

Der Suchlauf wurde vollständig durchgeführt.

3194 Verzeichnisse wurden überprüft
213452 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
213449 Dateien ohne Befall
3006 Archive wurden durchsucht
2 Warnungen
1 Hinweise



Hier noch ein aktueller HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:36:42, on 05.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GUSTAV\TeaTimer.exe
C:\WINDOWS\ISW\ewetel.dsl\signup\Tray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HJT\HJT202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.ewetel.de:8080
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\GUSTAV\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\GUSTAV\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\GUSTAV\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://195.145.249.40/trans06/viewer/ActiveXCab/mgaxctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191274285406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207330028171
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37890.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A7A3F9C-2D91-4D1F-86F0-FBC281B665E9}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{210666CC-8772-4284-B9BC-B082C48AF86F}: NameServer = 212.6.108.140,212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A7A3F9C-2D91-4D1F-86F0-FBC281B665E9}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IDriverT - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6434 bytes

#8 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) –

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

__________
MfG Argus

#9 Hallo,

http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

pktiblvk

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo,

Anweisungen von Arnold sind durchgeführt, die von Sabina natürlich auch ;-) Hier das Regsearch-Ergebnis:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 05.04.2008 11:50:08 for strings:
; 'pktiblvk'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PKTIBLVK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PKTIBLVK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PKTIBLVK\0000]
"Service"="PKTIBLVK"
"DeviceDesc"="PKTIBLVK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PKTIBLVK\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PKTIBLVK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PKTIBLVK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PKTIBLVK]
; Contents of value:
; \??\C:\WINDOWS\system32\pktiblvk.lka
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,70,00,6b,00,74,00,69,00,62,00,6c,00,76,00,6b,00,2e,00,6c,00,6b,00,\
61,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PKTIBLVK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PKTIBLVK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PKTIBLVK\Enum]
"0"="Root\\LEGACY_PKTIBLVK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PKTIBLVK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PKTIBLVK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PKTIBLVK\0000]
"Service"="PKTIBLVK"
"DeviceDesc"="PKTIBLVK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PKTIBLVK\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PKTIBLVK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PKTIBLVK]
; Contents of value:
; \??\C:\WINDOWS\system32\pktiblvk.lka
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,70,00,6b,00,74,00,69,00,62,00,6c,00,76,00,6b,00,2e,00,6c,00,6b,00,\
61,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PKTIBLVK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PKTIBLVK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PKTIBLVK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PKTIBLVK\0000]
"Service"="PKTIBLVK"
"DeviceDesc"="PKTIBLVK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PKTIBLVK\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PKTIBLVK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PKTIBLVK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PKTIBLVK]
; Contents of value:
; \??\C:\WINDOWS\system32\pktiblvk.lka
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,70,00,6b,00,74,00,69,00,62,00,6c,00,76,00,6b,00,2e,00,6c,00,6b,00,\
61,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PKTIBLVK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PKTIBLVK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PKTIBLVK\Enum]
"0"="Root\\LEGACY_PKTIBLVK\\0000"

; End Of The Log...

#11 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
pktiblvk

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PKTIBLVK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PKTIBLVK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_PKTIBLVK]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PKTIBLVK]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PKTIBLVK]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PKTIBLVK]

File::
C:\WINDOWS\system32\pktiblvk.lka

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

BOOTE IN DEN ABGESICHERTEN MODUS

_________________________________________________

Gehe in die Registry
Start - Ausführen - regedit

ändere folgende Werte in 0 :

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

rechtsklick auf den Eintrag "AntiVirusDisableNotify"


die 1 wegklicken und 0 reinschreiben, dann abspeichern



-------------

cfscript.txt auf dem Desktop suchen + mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden
PC neustarten

»»
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Da isses:

ComboFix 08-04-03.5 - Andschu 2008-04-05 14:11:25.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.144 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andschu\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Andschu\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\pktiblvk.lka
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PKTIBLVK
-------\Service_PKTIBLVK


((((((((((((((((((((((( Dateien erstellt von 2008-03-05 bis 2008-04-05 ))))))))))))))))))))))))))))))
.

2008-04-05 12:05 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-05 12:04 . 2008-04-05 12:05 <DIR> d-------- C:\Programme\Java
2008-04-05 12:03 . 2008-04-05 12:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-04 19:45 . 2008-04-04 19:46 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-04 19:45 . 2008-04-05 00:19 <DIR> d-------- C:\SDFix
2008-04-04 17:51 . 2008-04-04 17:51 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-04 17:27 . 2008-04-04 19:31 <DIR> d-------- C:\Programme\Yahoo!
2008-04-03 20:30 . 2008-04-03 20:30 <DIR> d-------- C:\WINDOWS\Content.IE5
2008-04-03 19:37 . 2008-04-03 19:37 <DIR> d-------- C:\Programme\GUSTAV
2008-04-03 18:45 . 2008-04-05 11:46 <DIR> d-------- C:\HJT
2008-04-02 23:17 . 2008-04-02 23:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-04-02 22:01 . 2008-04-02 22:01 <DIR> d-------- C:\Programme\Lavasoft
2008-04-02 22:01 . 2008-04-02 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-02 21:33 . 2008-04-02 21:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-04-02 21:33 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-04-02 21:33 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-02 21:33 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-02 20:06 . 2008-04-02 20:06 <DIR> d-------- C:\Programme\Trend Micro
2008-04-02 19:54 . 2008-04-02 21:23 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-30 18:19 . 2008-03-30 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
2008-03-21 23:45 . 2008-04-04 18:20 <DIR> d-------- C:\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-05 12:14 17,300,000 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-05 12:09 235,856 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-04 17:43 46,080 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-04-04 16:31 138,752 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-04-04 16:31 1,368,064 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-04-03 19:58 --------- d-----w C:\Programme\MM_Bahn_V3
2008-04-03 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-03 17:34 --------- d-----w C:\Programme\SPBT
2008-03-31 17:28 --------- d-----w C:\Dokumente und Einstellungen\Andschu\Anwendungsdaten\OpenOffice.org2
2008-03-30 16:17 --------- d-----w C:\Programme\Gemeinsame Dateien\AAV
2008-03-22 12:03 --------- d-----w C:\Programme\IrfanView
2008-03-21 23:21 --------- d-----w C:\Programme\Soulseek
2008-02-28 18:13 --------- d-----w C:\Programme\audiograbber
2008-02-15 13:33 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-02-10 00:37 319 ----a-w C:\drmHeader.bin
2007-05-22 17:33 17,658,844 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_05_21_22_46_34_full.dmp.zip
2007-05-22 17:33 149,278 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_05_21_22_46_16_small.dmp.zip
2006-06-27 16:51 284 ----a-w C:\Dokumente und Einstellungen\Andschu\Anwendungsdaten\ViewerApp.dat
2007-06-14 22:10 26,144 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((( snapshot@2008-04-04_18.28.37.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-04 04:07:33 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-04-04 17:46:07 6,402,048 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-04-04 17:46:07 270,336 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-04-04 04:07:33 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-04-04 17:46:00 6,402,048 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-04-04 17:46:00 270,336 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
- 2005-11-10 09:27:06 49,248 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-02-21 23:23:35 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2005-11-10 09:27:16 49,250 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-02-21 23:23:39 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2005-11-10 11:03:54 127,078 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2008-02-22 00:33:32 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2007-07-30 17:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"SpybotSD TeaTimer"="C:\Programme\GUSTAV\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-04 20:29 185896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-05 17:42 249896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 15:32]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-08-06 20:40]
S3 kwwalpgr;kwwalpgr;C:\DOKUME~1\Andschu\LOKALE~1\Temp\kwwalpgr.sys []
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-08-06 20:40]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 14:15:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-05 14:18:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-05 12:18:49
ComboFix2.txt 2008-04-04 18:28:34
ComboFix3.txt 2008-04-04 16:29:13
ComboFix4.txt 2007-06-16 17:05:19
11 Verzeichnis(se), 3,396,177,920 Bytes frei
13 Verzeichnis(se), 3,381,506,048 Bytes frei

#13 Hallo,

Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

ändere folgende Werte in 0 :

"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

Zitat

rechtsklick auf den Eintrag "AntiVirusDisableNotify"


die 1 wegklicken und 0 reinschreiben, dann abspeichern

------

abspeichern, Registry schliessen + PC neustarten

----------------------------------------------------------------------------------------------------

««
Start - Ausführen - Kopiere rein: Combofix /U

- klicke "OK"

--------

»»
scanne mit Kaspersky - Virus Removal Tool - AVPTool
http://www.virus-protect.org/artikel/tools/kaspersky.html
poste hier den report
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Scan
----
Scanned: 2989
Detected: 0
Untreated: 0
Start time: 05.04.2008 18:00:46
Duration: 00:02:00
Finish time: 05.04.2008 18:02:46


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----

#15 wenn du den Kaspersky aus dem autostart haben willst, fixe den 04-Eintrag, den man im HijackThis-Log findet.
Ansonsten..es ist alles weder o.k.
__________
MfG Sabina

rund um die PC-Sicherheit