Windows has detected spyware infection! & You computer is infected

#0
16.04.2008, 22:25
...neu hier

Beiträge: 3
#1 Habe das selbe Problem was hier schon mehrfach angesprochen wurde...dieser lustige rote kreis mit weißem kreuz...darüberhinaus ist daneben noch ein gelbes Dreieck mit schwarzem Ausrufezeichen ...

Würde mich sehr freuen wenn mir wer helfen kann den mist los zu werden !!!

hier schonmal mein logfile von Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:43, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Vista Drive Icon\DrvIcon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvpak.dll,startup
O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O4 - HKLM\..\Run: [38df755a] rundll32.exe "C:\WINDOWS\system32\jsjctbbw.dll",b
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE491A3F-0887-46EA-BDA8-ADFDC734AE81}: NameServer = 217.237.151.205 217.237.148.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: iSecurity.cpl
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 6358 bytes

Vielen danke schonmal im vorraus !!!!

Marcel
Seitenanfang Seitenende
16.04.2008, 22:54
Moderator

Beiträge: 5694
#2 Hallo Schmiddiey

>>
wende Cleaner an
http://www.ccleaner.de/?protecus.de

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat

O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvpak.dll,startup

O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor

O4 - HKLM\..\Run: [38df755a] rundll32.exe "C:\WINDOWS\system32\jsjctbbw.dll",b

O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - h**//support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)

O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)


O20 - AppInit_DLLs: iSecurity.cpl

O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL
und wähle fix checked. + starte den Rechner neu.

««
wende smitfraudfix an - Option 2 - poste hier den report
http://virus-protect.org/artikel/tools/smitfrautfix.html

>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das log
http://virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
17.04.2008, 19:33
...neu hier

Themenstarter

Beiträge: 3
#3 Hey viele Dank Swiss...

Hat nach dem fix checked und Rechner Neustart geklappt
die Dinger sind alle weg ...


Herzlichen dank für die schnelle und wirklich gute Hilfe ...

Mit freundlichem Gruss

Schmiddiey
Seitenanfang Seitenende
18.04.2008, 13:34
...neu hier

Beiträge: 3
#4 Hallo,
hab das Problem auch.

habe den Cleaner angewendet.
Hier ist das HijackLogfile. Die genannten Einträge gibts bei mir nicht.
Wie komm ich weiter?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:49, on 18.04.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Mixer.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\printer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Startup: findfast.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: bbAkZMCb - {3E14440C-94BE-EEA6-602F-E9D868A024D8} - C:\WINDOWS\System32\ngnmpa.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 3556 bytes


Danke schonmal für die Hilfe
Seitenanfang Seitenende
18.04.2008, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 kamikade

fixe mit HijacktHis
Klicke: "Do a system scan only"

Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe

O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\printer.exe

O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe

O4 - Startup: findfast.exe

O4 - Global Startup: autorun.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O21 - SSODL: bbAkZMCb - {3E14440C-94BE-EEA6-602F-E9D868A024D8} - C:\WINDOWS\System32\ngnmpa.dll

Wende Combofix an und poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2008, 20:11
...neu hier

Beiträge: 3
#6 Ok, sieht gut aus. DANKE!!! Ich hoff mal, das wars schon...

HIer ist das Combofix Logfile:

ComboFix 08-04-17.1 - Music 2008-04-18 20:07:48.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.351 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Music\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\d.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\printer.exe
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\ultra
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\wsnpoem\audio.dll
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\wsnpoem\video.dll
C:\Dokumente und Einstellungen\Hubert und Angelika\Desktopvirii
C:\Dokumente und Einstellungen\Hubert und Angelika\ftpdll.dll
C:\Dokumente und Einstellungen\Hubert und Angelika\Startmenü\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\Miriam\Startmenü\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\Music\Anwendungsdaten\ultra
C:\Dokumente und Einstellungen\Music\Anwendungsdaten\ultra\ultra.inf
C:\Dokumente und Einstellungen\Music\Anwendungsdaten\ultra\uninstall.bat
C:\Dokumente und Einstellungen\Music\Startmenü\Programme\Autostart\findfast.exe
C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Helper
C:\Programme\Helper\1208347245.dll
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\Programme\SystemDefender
C:\Programme\Ultimate Defender
C:\WINDOWS\a.bat
C:\WINDOWS\aromis.config
C:\WINDOWS\aromis.exe
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\conf.inf
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\inf\ultra.inf
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\ky.sxc
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\shell.exe
C:\WINDOWS\system32\alt.exe.exe
C:\WINDOWS\system32\drivers\Bgk27.sys
C:\WINDOWS\system32\drivers\Bgk62.sys
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\drivers\tevrbrqf.dat
C:\WINDOWS\system32\duis.txt
C:\WINDOWS\system32\ftpdll.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\msindc.dll
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\shift.exe.exe
C:\WINDOWS\system32\spoolvs.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\wowfx.dll
C:\WINDOWS\system32\xlibgfl254.dll
C:\WINDOWS\system32akttzn.exe
C:\WINDOWS\system32anticipator.dll
C:\WINDOWS\system32awtoolb.dll
C:\WINDOWS\system32bdn.com
C:\WINDOWS\system32bsva-egihsg52.exe
C:\WINDOWS\system32dpcproxy.exe
C:\WINDOWS\system32emesx.dll
C:\WINDOWS\system32h@tkeysh@@k.dll
C:\WINDOWS\system32hoproxy.dll
C:\WINDOWS\system32hxiwlgpm.dat
C:\WINDOWS\system32hxiwlgpm.exe
C:\WINDOWS\system32medup012.dll
C:\WINDOWS\system32medup020.dll
C:\WINDOWS\system32msgp.exe
C:\WINDOWS\system32msnbho.dll
C:\WINDOWS\system32mssecu.exe
C:\WINDOWS\system32msvchost.exe
C:\WINDOWS\system32mtr2.exe
C:\WINDOWS\system32mwin32.exe
C:\WINDOWS\system32netode.exe
C:\WINDOWS\system32newsd32.exe
C:\WINDOWS\system32ps1.exe
C:\WINDOWS\system32psof1.exe
C:\WINDOWS\system32psoft1.exe
C:\WINDOWS\system32regc64.dll
C:\WINDOWS\system32regm64.dll
C:\WINDOWS\system32Rundl1.exe
C:\WINDOWS\system32smp
C:\WINDOWS\system32smp\msrc.exe
C:\WINDOWS\system32sncntr.exe
C:\WINDOWS\system32ssurf022.dll
C:\WINDOWS\system32ssvchost.com
C:\WINDOWS\system32ssvchost.exe
C:\WINDOWS\system32sysreq.exe
C:\WINDOWS\system32taack.dat
C:\WINDOWS\system32taack.exe
C:\WINDOWS\system32temp#01.exe
C:\WINDOWS\system32thun.dll
C:\WINDOWS\system32thun32.dll
C:\WINDOWS\system32VBIEWER.OCX
C:\WINDOWS\system32vbsys2.dll
C:\WINDOWS\system32vcatchpi.dll
C:\WINDOWS\system32winlogonpc.exe
C:\WINDOWS\system32winsystem.exe
C:\WINDOWS\system32WINWGPX.EXE
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\Web\def.htm
C:\WINDOWS\winself.exe
C:\WINDOWS\winsystem.exe
C:\WINDOWS\zalpqbj.sys
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.

2008-04-18 13:03 . 2008-04-18 13:03 <DIR> d-------- C:\Programme\CCleaner
2008-04-18 10:28 . 2008-04-18 10:28 110,592 --a------ C:\WINDOWS\system32\nhqzkxgf.dll
2008-04-18 10:28 . 2008-04-18 10:28 110,592 --a------ C:\WINDOWS\system32\nafzxdgb.exe
2008-04-18 10:28 . 2008-04-18 10:28 110,592 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\azaxyhwp.dll
2008-04-18 10:28 . 2008-04-18 10:28 33,280 --a------ C:\WINDOWS\kxclengf.exe
2008-04-18 10:28 . 2005-08-21 02:54 33,280 --a------ C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\18917.exe.bak
2008-04-13 20:06 . 2005-08-13 19:17 161,344 --a------ C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\avsyscare.exe
2008-04-13 19:56 . 2005-08-11 03:25 98,709 --a------ C:\Dokumente und Einstellungen\Music\Anwendungsdaten\sysdefender.exe
2008-04-07 14:31 . 2005-08-07 11:33 98,709 --a------ C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\sysdefender.exe
2008-04-07 12:28 . 2008-04-07 12:28 211,456 --a------ C:\WINDOWS\cndr32a.dll
2008-04-07 12:28 . 2008-04-07 12:28 58,880 --a------ C:\lilsesn.exe
2008-04-07 12:28 . 2008-04-07 12:28 43,520 --a------ C:\gjtxc.exe
2008-04-07 12:28 . 2008-04-07 12:28 10,000 --a------ C:\WINDOWS\system32\jfiehayd.dll
2008-04-07 12:28 . 2008-04-07 12:28 705 --a------ C:\d1.exe
2008-04-07 12:28 . 2008-04-07 12:28 55 --a------ C:\smp.bat
2008-04-07 12:28 . 2008-04-07 12:28 2 --a------ C:\1041515531
2008-04-07 12:27 . 2008-04-07 12:28 58,880 --a------ C:\ihso.exe
2008-04-07 12:27 . 2008-04-07 12:28 43,520 --a------ C:\qcojteuj.exe
2008-04-07 12:27 . 2008-04-07 12:27 12,800 --a------ C:\bzXV.exe
2008-04-07 12:27 . 2008-04-07 12:28 8,947 --a------ C:\Dokumente und Einstellungen\Hubert und Angelika\cftmon.exe
5 Datei(en) . 721,427 C:\ComboFix\Bytes
4 Datei(en) . 3,680,179 C:\ComboFix\Bytes
2 Datei(en) . 110,654 C:\ComboFix\Bytes
2 Datei(en) . 98,771 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 19:37 865,280 ----a-w C:\WINDOWS\system32\msupdate.dll
2008-04-09 19:37 567,296 ----a-w C:\WINDOWS\system32\msiesetup.exe
2008-04-09 19:37 14,848 ----a-w C:\WINDOWS\system32\ieking.dll
2006-01-21 13:19 1,610 ----a-w C:\Programme\uninstal.log
2002-08-29 10:00 428,032 ----a-r C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\ntos.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-10-15 19:00 1818624 C:\WINDOWS\mixer.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-20 16:40 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:00 13312]
"InetChk"="C:\WINDOWS\TEMP\ms1208347264.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bbAkZMCb"= {3E14440C-94BE-EEA6-602F-E9D868A024D8} - C:\WINDOWS\System32\ngnmpa.dll [2002-08-29 12:00 32768]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\System32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Dokumente und Einstellungen\\Music\\Anwendungsdaten\\sysdefender.exe"=

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\System32\DRIVERS\WDMCAPI.sys [2001-11-20 15:56]
R1 Asapi;Asapi;C:\WINDOWS\System32\drivers\Asapi.sys [2002-04-17 20:27]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\System32\DRIVERS\avmunet.sys [2005-02-22 14:33]
S2 digi96;RME Digi Audio Device;C:\WINDOWS\System32\DRIVERS\digi96.sys []
S2 EMGA8U2K;emagic AMT8 configuration node (USB);C:\WINDOWS\System32\drivers\EMGA8U2K.sys [2001-12-06 18:54]
S2 EmgicUsb;emagic USB kernel driver;C:\WINDOWS\System32\Drivers\EMGICUSB.sys [2001-12-06 18:57]
S2 USBHSB;GeneLink File Transfer Driver;C:\WINDOWS\System32\Drivers\usbhsb.sys [2001-12-16 21:42]
S3 vsc32;Virtual Sound Canvas 3.2;C:\WINDOWS\System32\DRIVERS\vsc.sys []
S3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\System32\DRIVERS\wdmwanmp.sys [2001-04-22 15:41]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 20:10:01
Windows 5.1.2600 Service Pack 1 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\rsvp.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-18 20:10:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-18 18:10:32

8 Verzeichnis(se), 1,246,855,168 Bytes frei
14 Verzeichnis(se), 1,627,164,672 Bytes frei
Seitenanfang Seitenende
18.04.2008, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 kamikade

http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\TEMP\ms1208347264.exe
C:\WINDOWS\system32\msupdate.dll
C:\WINDOWS\system32\msiesetup.exe
C:\WINDOWS\system32\ieking.dll
C:\WINDOWS\system32\nhqzkxgf.dll
C:\WINDOWS\system32\nafzxdgb.exe
C:\WINDOWS\system32\jfiehayd.dll
C:\WINDOWS\kxclengf.exe
C:\Dokumente und Einstellungen\Hubert und Angelika\cftmon.exe
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\ntos.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\azaxyhwp.dll
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\18917.exe.bak
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\avsyscare.exe
C:\Dokumente und Einstellungen\Music\Anwendungsdaten\sysdefender.exe
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\sysdefender.exe
C:\WINDOWS\cndr32a.dll
C:\lilsesn.exe
C:\gjtxc.exe
C:\d1.exe
C:\smp.bat
C:\1041515531
C:\ihso.exe
C:\qcojteuj.exe
C:\bzXV.exe


Klicke auf den Roten MoveIt!
kopiere hier, was rechts im Fenster erscheint (Löschlog)

--------------------------------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
lade +
wende combofix noch mal an
+ poste den report
http://virus-protect.org/artikel/tools/combofix.html

««
wende windowssscan an + poste hier den report
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.04.2008, 11:32
...neu hier

Beiträge: 3
#8 Hi Sabina,
Moveit hat sich bei den folgenden 2 Files aufgehängt:
C:\WINDOWS\system32\nhqzkxgf.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\azaxyhwp.dll

Löschlog von Moveit ohne diese 2:

File/Folder C:\WINDOWS\TEMP\ms1208347264.exe not found.
File/Folder C:\WINDOWS\system32\msupdate.dll not found.
File/Folder C:\WINDOWS\system32\msiesetup.exe not found.
File/Folder C:\WINDOWS\system32\ieking.dll not found.
File/Folder not found.
File/Folder C:\WINDOWS\system32\nafzxdgb.exe not found.
File/Folder C:\WINDOWS\system32\jfiehayd.dll not found.
File/Folder C:\WINDOWS\kxclengf.exe not found.
File/Folder C:\Dokumente und Einstellungen\Hubert und Angelika\cftmon.exe not found.
File/Folder C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\ntos.exe not found.
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\18917.exe.bak moved successfully.
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\avsyscare.exe moved successfully.
C:\Dokumente und Einstellungen\Music\Anwendungsdaten\sysdefender.exe moved successfully.
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\sysdefender.exe moved successfully.
C:\WINDOWS\cndr32a.dll unregistered successfully.
C:\WINDOWS\cndr32a.dll moved successfully.
C:\lilsesn.exe moved successfully.
C:\gjtxc.exe moved successfully.
C:\d1.exe moved successfully.
C:\smp.bat moved successfully.
C:\1041515531 moved successfully.
C:\ihso.exe moved successfully.
C:\qcojteuj.exe moved successfully.
C:\bzXV.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04202008_112525


###################################################

Und hier der neue Combofixlog:

ComboFix 08-04-18.3 - Music 2008-04-20 11:30:46.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.349 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Music\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\wsnpoem\audio.dll
C:\Dokumente und Einstellungen\Hubert und Angelika\Anwendungsdaten\wsnpoem\video.dll
C:\WINDOWS\system32\drivers\spools.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-20 bis 2008-04-20 ))))))))))))))))))))))))))))))
.

2008-04-20 11:24 . 2008-04-20 11:25 <DIR> d-------- C:\_OTMoveIt
2008-04-18 13:03 . 2008-04-18 13:03 <DIR> d-------- C:\Programme\CCleaner
2008-04-18 10:28 . 2008-04-18 10:28 110,592 --a------ C:\WINDOWS\system32\nhqzkxgf.dll
2008-04-18 10:28 . 2008-04-18 10:28 110,592 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\azaxyhwp.dll
2 Datei(en) . 110,654 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2006-01-21 13:19 1,610 ----a-w C:\Programme\uninstal.log
.

------- Sigcheck -------

2002-08-29 12:00 524800 acd2688c058442c79a44e3ea47c9eec9 C:\WINDOWS\system32\winlogon.exe

2002-08-29 12:00 1010176 ed4ed3689f7807645321ab6362195860 C:\WINDOWS\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-10-15 19:00 1818624 C:\WINDOWS\mixer.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-20 16:40 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:00 13312]
"InetChk"="C:\WINDOWS\TEMP\ms1208347264.exe" [ ]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2005-03-27 16:46:04 49254]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bbAkZMCb"= {3E14440C-94BE-EEA6-602F-E9D868A024D8} - C:\WINDOWS\System32\ngnmpa.dll [2002-08-29 12:00 32768]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\System32\NeroCheck.exe

R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\System32\DRIVERS\WDMCAPI.sys [2001-11-20 15:56]
R1 Asapi;Asapi;C:\WINDOWS\System32\drivers\Asapi.sys [2002-04-17 20:27]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\System32\DRIVERS\avmunet.sys [2005-02-22 14:33]
S2 digi96;RME Digi Audio Device;C:\WINDOWS\System32\DRIVERS\digi96.sys []
S2 EMGA8U2K;emagic AMT8 configuration node (USB);C:\WINDOWS\System32\drivers\EMGA8U2K.sys [2001-12-06 18:54]
S2 EmgicUsb;emagic USB kernel driver;C:\WINDOWS\System32\Drivers\EMGICUSB.sys [2001-12-06 18:57]
S2 USBHSB;GeneLink File Transfer Driver;C:\WINDOWS\System32\Drivers\usbhsb.sys [2001-12-16 21:42]
S3 vsc32;Virtual Sound Canvas 3.2;C:\WINDOWS\System32\DRIVERS\vsc.sys []
S3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\System32\DRIVERS\wdmwanmp.sys [2001-04-22 15:41]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-20 11:31:33
Windows 5.1.2600 Service Pack 1 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-20 11:31:48
ComboFix2.txt 2008-04-18 18:10:34
ComboFix-quarantined-files.txt 2008-04-20 09:31:48

9 Verzeichnis(se), 1,562,206,208 Bytes frei
15 Verzeichnis(se), 1,601,744,896 Bytes frei

82


###################################################

Und windowsscan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

20.04.2008 system.ini 11 31:227
20.04.2008 0.log 11 29:0
20.04.2008 wiadebug.log 11 28:159
20.04.2008 bootstat.dat 11 28:2.048
20.04.2008 wiaservc.log 11 28:50
19.04.2008 QTFont.qfn 14 14:54.156
18.04.2008 setupapi.log 20 27:2.051
30.01.2008 win.ini 20 01:1.408
20.01.2008 QTFont.for 23 06:1.409
16.09.2007 tm.ini 08 27:3.193
11.09.2007 tdf.dii 13 07:108
24.06.2007 CMMIXER.INI 18 06:101
19.05.2007 CoverDes.INI 12 11:455
21.08.2006 pysoft_uninstaller.exe 12 45:78.336
20.07.2006 mixerdef.ini 16 19:25
20.07.2006 ODBC.INI 15 19:403
5.prf 13.07.2006 Logic 11 37:44.786
25.02.2006 winamp.ini 14 02:95
18.01.2006 forte.INI 18 36:30
01.11.2005 UPGRADE.TXT 14 53:755
12.10.2005 PlgEnabler2a.INI 12 03:0
24.08.2005 wininit.ini 14 47:10
18.08.2004 WMSysPrx.prx 11 03:299.552
15.10.2003 Tpkdboot.reg 02 47:12
05.03.2003 LOOP.exe 00 03:2.023.936
03.01.2003 Ascd_tmp.ini 09 35:1.651
02.01.2003 REGLOCS.OLD 15 45:8.192


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

18.04.2008 nhqzkxgf.dll 10 28:110.592
18.04.2008 wpa.dbl 10 26:2.422
09.04.2008 c__2303.nls 21 37:130
09.04.2008 c__3481.nls 21 37:98
09.04.2008 c__374.nls 21 37:882
09.04.2008 c__0593.nls 21 37:48.882
09.04.2008 c__3948.nls 21 37:66
09.04.2008 c__34895.nls 21 37:162
09.04.2008 c__3480.nls 21 37:418
09.04.2008 c__3479.nls 21 37:338
09.04.2008 c__3478.nls 21 37:658
09.04.2008 c__23732.nls 21 37:82
09.04.2008 c__10983.nls 21 37:130
09.04.2008 c__3482.nls 21 37:274
30.03.2008 FNTCACHE.DAT 12 39:110.992
21.08.2006 janosch_01.scr 12 45:1.101.509
20.07.2006 wmpscheme.xml 15 16:25.065
04.05.2006 QuickTimeVR.qtx 17 35:65.536
04.05.2006 QuickTime.qts 17 35:49.152
03.12.2005 PerfStringBackup.INI 16 49:722.222
03.12.2005 perfh009.dat 16 49:311.740
03.12.2005 perfc009.dat 16 49:40.128
03.12.2005 perfh007.dat 16 49:316.924
03.12.2005 perfc007.dat 16 49:48.354
15.11.2005 rmoc3260.dll 09 38:176.167
14.09.2005 px.dll 21 17:462.848
14.09.2005 pxmas.dll 21 17:143.360
14.09.2005 pxhpinst.exe 21 17:53.248
14.09.2005 pxwave.dll 21 17:286.720
14.09.2005 vxblock.dll 21 17:28.672
14.09.2005 pxdrv.dll 21 17:319.488
22.02.2005 avmadd32.dll 02 00:53.760
05.01.2005 xvid-uninstall.exe 12 46:31.369
19.12.2004 xvidvfw.dll 14 29:106.496
19.12.2004 xvid.ax 14 28:77.824
19.12.2004 xvidcore.dll 14 17:614.400
11.08.2004 wmvdmod.dll 01 45:871.160
11.08.2004 wmvadvd.dll 01 45:1.181.944
11.08.2004 wmspdmod.dll 01 45:531.192
11.08.2004 wmsdmod.dll 01 45:773.368
11.08.2004 wmadmod.dll 01 45:380.144
01.08.2004 wpa.bak 18 12:2.422
04.06.2004 PCMST2K.dll 17 16:47.163
24.03.2004 digi96.exe 12 25:86.016
24.03.2004 digi96.dll 11 55:8.192
25.02.2004 NI_DFD_1_2_9.dll 18 19:69.632
27.01.2004 3ivxVfWCodec.dll 13 48:286.720


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****




Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 20.04.2008 um 11:33:45,78 ***


Vielen Dank für die Hilfe
Seitenanfang Seitenende
20.04.2008, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo kamikade

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"InetChk"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bbAkZMCb"=-

File::
C:\WINDOWS\TEMP\ms1208347264.exe
C:\WINDOWS\system32\nhqzkxgf.dll
C:\WINDOWS\System32\ngnmpa.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\azaxyhwp.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

---

poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2008, 18:22
...neu hier

Themenstarter

Beiträge: 3
#10 Hey ich bin's nochmal Schmiddiey ...

Hatte das Thread hier eröffnet und naja irgendwie scheint es doch net alles geklappt zu haben.
Habe das selbe problem wieder haber nochmal ein LogFile erstellt ...
Hoffe mir kann jemand helfen und das problem finden ...

LogFile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:48, on 06.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Vista Drive Icon\DrvIcon.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Veoh Networks\Veoh\VeohClient.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [38df755a] rundll32.exe "C:\WINDOWS\system32\pkqirqcj.dll",b
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvneg.dll,startup
O4 - HKLM\..\Run: [BM3bec46c6] Rundll32.exe "C:\WINDOWS\system32\soaimedv.dll",s
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Veoh] "D:\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 6807 bytes



Viele danke nochmal ...
Seitenanfang Seitenende
06.05.2008, 18:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo Schmiddiey

???????????? ;)

Zitat

Hat nach dem fix checked und Rechner Neustart geklappt
die Dinger sind alle weg ...
--------------------------------------------------------------------------
««
wende Cleaner an
http://www.ccleaner.de/?protecus.de

««
fixe mit HijacktHis
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - HKLM\..\Run: [38df755a] rundll32.exe "C:\WINDOWS\system32\pkqirqcj.dll",b

O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvneg.dll,startup

O4 - HKLM\..\Run: [BM3bec46c6] Rundll32.exe "C:\WINDOWS\system32\soaimedv.dll",s
««
Wende Combofix an und poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende