Adware.Webprefix

#0
16.04.2008, 03:31
...neu hier

Beiträge: 3
#1 Servus mit Adware.Webprefix infiziert!
Könntet ihr mir sagen, wie ich vorzugehen habe, um dieses Problem zu beseitigen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:30:13, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\largo\lokale einstellungen\anwendungsdaten\bwdhl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wikipedia.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.214.157:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {484A5FA2-08F6-4010-8485-A709F71BC47D} - C:\WINDOWS\system32\kbdtmsno.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CtxfiReg] CTXFIREG.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [bwdhl] c:\dokumente und einstellungen\largo\lokale einstellungen\anwendungsdaten\bwdhl.exe bwdhl
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{520FBFBC-720E-4312-A6BE-0AFC464AE166}: NameServer = 134.2.200.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{85DB2254-5E5D-46F6-A0C0-B1ADF08DBF4E}: NameServer = 134.2.200.1,134.2.200.2
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe

--
End of file - 9001 bytes
Seitenanfang Seitenende
16.04.2008, 07:49
Moderator

Beiträge: 5694
#2 Hallo Crain


>>
Prüfe folgende Datei bei www.virustotal.com/de
C:\dokumente und einstellungen\largo\lokale einstellungen\anwendungsdaten\bwdhl.exe

>>
wende Cleaner an
http://www.ccleaner.de/?protecus.de

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat:

Zitat

O2 - BHO: (no name) - {484A5FA2-08F6-4010-8485-A709F71BC47D} - C:\WINDOWS\system32\kbdtmsno.dll

O4 - HKCU\..\Run: [bwdhl] c:\dokumente und einstellungen\largo\lokale einstellungen\anwendungsdaten\bwdhl.exe bwdhl

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

und wähle fix checked. + starte den Rechner neu.

>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das log
http://virus-protect.org/artikel/tools/combofix.html




Gruss Swiss
Seitenanfang Seitenende
16.04.2008, 13:35
...neu hier

Themenstarter

Beiträge: 3
#3 DANKE für die schnelle und präzise Antwort!

Ich habe die dem kompletten scan mit Malwarebytes durchgeführt und anschließend die 11 infizierten Dateien gelöscht. Allerdings habe ich vergessen den report zu speichern! Anschliend führte ich nochmal eine Schnellsuche durch.

Der Report dieses 2. scans:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 636

Scan Art: Schnell Scan
Objekte gescannt: 30899
Scan Dauer: 4 minute(s), 5 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Combofix Log:

ComboFix 08-04-15.4 - largo 2008-04-16 13:25:53.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.618 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\largo\Desktop\Webspy\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Datenschutzrichtlinien.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Deinstallieren.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Geschäftsbedingungen.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\WebMediaPlayer.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Website.url
C:\Dokumente und Einstellungen\largo\Lokale Einstellungen\Anwendungsdaten\bwdhl.dat
C:\Dokumente und Einstellungen\largo\Lokale Einstellungen\Anwendungsdaten\bwdhl.exe
C:\Dokumente und Einstellungen\largo\Lokale Einstellungen\Anwendungsdaten\bwdhl_nav.dat
C:\Dokumente und Einstellungen\largo\Lokale Einstellungen\Anwendungsdaten\bwdhl_navps.dat
C:\WINDOWS\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-16 bis 2008-04-16 ))))))))))))))))))))))))))))))
.

2008-04-16 11:42 . 2008-04-16 11:42 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-16 11:42 . 2008-04-16 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\largo\Anwendungsdaten\Malwarebytes
2008-04-16 11:42 . 2008-04-16 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-16 11:36 . 2008-04-16 11:36 <DIR> d-------- C:\Programme\CCleaner
2008-04-16 02:56 . 2008-04-16 02:56 <DIR> d-------- C:\Programme\Trend Micro
2008-04-16 02:48 . 2008-04-16 02:48 <DIR> d-------- C:\Programme\Panda Security
2008-04-12 19:08 . 2008-04-12 19:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-04-12 19:08 . 2008-04-12 19:08 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-12 19:08 . 2008-04-12 19:08 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-04-02 20:24 . 2008-04-02 20:26 <DIR> d-------- C:\Programme\Hotspot Shield
2008-03-24 17:14 . 2008-03-24 17:14 3,778,236 --a------ C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000004-00511102}.CDF
2008-03-24 17:13 . 2008-04-16 11:49 28,056 --a------ C:\WINDOWS\system32\BMXCtrlState-{00000000-00000000-0000000A-00001102-00000004-00511102}.rfx
2008-03-24 17:13 . 2008-04-16 11:49 28,056 --a------ C:\WINDOWS\system32\BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000004-00511102}.rfx
2008-03-24 17:13 . 2008-04-16 11:49 20,160 --a------ C:\WINDOWS\system32\BMXStateBkp-{00000000-00000000-0000000A-00001102-00000004-00511102}.rfx
2008-03-24 17:13 . 2008-04-16 11:49 20,160 --a------ C:\WINDOWS\system32\BMXState-{00000000-00000000-0000000A-00001102-00000004-00511102}.rfx
2008-03-24 17:13 . 2008-04-16 11:49 24 --a------ C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000A-00001102-00000004-00511102}.dat
2008-03-24 17:13 . 2008-04-16 11:49 24 --a------ C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000A-00001102-00000004-00511102}.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-16 09:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-16 00:32 --------- d-----w C:\Programme\Norton Security Scan
2008-04-15 14:29 --------- d-----w C:\Programme\DC++
2008-04-12 18:21 --------- d-----w C:\Programme\Winamp
2008-04-12 17:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-10 08:31 --------- d-----w C:\Programme\ICQToolbar
2008-03-24 15:10 --------- d-----w C:\Programme\Creative
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-13 02:38 27,136 ----a-w C:\WINDOWS\system32\drivers\tapvpn.sys
2008-03-06 15:48 --------- d-----w C:\Dokumente und Einstellungen\largo\Anwendungsdaten\Azureus
2008-03-06 06:36 --------- d-----w C:\Programme\Azureus
2008-03-05 22:12 --------- d-----w C:\Programme\You Don't Know Jack 4
2008-03-05 16:02 --------- d-----w C:\Programme\ICQ6
2008-03-04 23:41 --------- d-----w C:\Dokumente und Einstellungen\largo\Anwendungsdaten\dvdcss
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-27 23:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-27 23:40 --------- d-----w C:\Dokumente und Einstellungen\largo\Anwendungsdaten\Philips
2008-02-27 23:39 --------- d-----w C:\Programme\Philips
2008-02-27 14:18 --------- d-----w C:\Programme\gs
2008-02-27 14:14 --------- d-----w C:\Programme\FreePDF_XP
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-01-18 15:57 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-11-12 16:51 24,584 ----a-w C:\Dokumente und Einstellungen\largo\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-07-22 08:51 3,432,656 ----a-w C:\Programme\ManagedDX.CAB
2004-07-19 20:58 1,156,363 ----a-w C:\Programme\BDANT.cab
2004-07-19 20:53 976,020 ----a-w C:\Programme\BDAXP.cab
2004-07-09 12:17 13,265,040 ----a-w C:\Programme\dxnt.cab
2004-07-09 07:13 703,080 ----a-w C:\Programme\BDA.cab
2004-07-09 07:13 15,493,481 ----a-w C:\Programme\DirectX.cab
2004-07-09 02:08 472,576 ----a-w C:\Programme\dxsetup.exe
2004-07-09 02:08 2,242,560 ----a-w C:\Programme\dsetup32.dll
2004-07-09 01:03 62,976 ----a-w C:\Programme\DSETUP.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 17:03 94208]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"QIP2005"="C:\Programme\QIP\qip.exe" [2007-07-15 12:43 3259904]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"SetDefaultMIDI"="MIDIDef.exe" [2001-06-19 13:16 57344 C:\WINDOWS\MIDIDEF.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VCDPlayer"="C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe" [2002-05-28 14:32 94208]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:46 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 21:16 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 19:36 267048]
"CtxfiReg"="CTXFIREG.EXE" [2006-08-11 15:53 42496 C:\WINDOWS\system32\CTXFIREG.EXE]
"AsioReg"="REGSVR32 /S CTASIO.DLL" []
"CTHelper"="CTHELPER.EXE" [2006-08-11 15:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 15:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]
"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 02:00 90112]
"Jet Detection"="C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 15:52 28672]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2004-03-11 20:40 186368]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-12 19:08 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-06-05 16:10:50 113664]
Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe [2007-11-17 20:27:21 1524776]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2007-05-07 17:37:40 237568]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"E:\\Soldat\\Soldat.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Programme\\DC++\\DCPlusPlus.exe"=
"E:\\Warcraft III\\Warcraft III.exe"=
"E:\\Warcraft III\\War3.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 vcdmpdrv;vcdmpdrv;C:\WINDOWS\system32\DRIVERS\vcdmpdrv.sys [2002-05-28 12:41]
R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\system32\drivers\e10kx2k.sys [2001-07-13 14:29]
R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-03-13 04:38]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-13 16:00:11 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-16 13:27:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-16 13:28:12
ComboFix-quarantined-files.txt 2008-04-16 11:28:06

9 Verzeichnis(se), 25,616,699,392 Bytes frei
11 Verzeichnis(se), 25,614,979,072 Bytes frei
.
2008-04-09 14:12:38 --- E O F ---
Seitenanfang Seitenende
16.04.2008, 13:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

««
Gehe in die Registry

Start - Ausführen - regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

auf der rechten Seite der Registry verändere folgende Werte
von: 1 in 0

* AntiVirusDisableNotify = "dword:00000001"
* UpdatesDisableNotify = "dword:00000001"





----------------------------------------------------------------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

»»
PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2008, 13:53
...neu hier

Themenstarter

Beiträge: 3
#5 Servus und nochmal danke! Ihr seid aber wirklich fix.

Bin ich ihn jetzt los und womit kann ich mich am besten schützen?

Lg crain
Seitenanfang Seitenende
16.04.2008, 14:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 auf WebMediaPlayer verzichten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende