fieser vundo ... mit logs!

#1 hab schon etwas länger gebastelt und auch schon in anderen foren gelesen und getestet, aber nix hat funktioniert. hier die hijack und combofix logs ....




hijack

Logfile of HijackThis v1.99.1
Scan saved at 10:30:30, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\BELKIN USB Wireless Monitor\WLService.exe
C:\Programme\BELKIN USB Wireless Monitor\WLanCfgG.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Zubehör\OmniPass\Omniserv.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
D:\Programme\Zubehör\OmniPass\OPXPApp.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\explorer.exe
D:\Programme\Internet\QIP Infium\infium.exe
D:\Programme\Internet\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\moe\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Programme\Zubehör\Robo\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\nnnnMgeC.dll
O2 - BHO: (no name) - {FF95BDE4-453F-4011-8261-879324EB36A0} - C:\WINDOWS\system32\qoMgfDtU.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Programme\Zubehör\Robo\roboform.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Video\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [openvpn-gui] D:\Programme\Internet\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Zubehör\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Video\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OmniPass] D:\Programme\Zubehör\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\Zubehör\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "D:\Programme\Zubehör\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Zubehör\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Getca] C:\Programme\BELKIN USB Wireless Monitor\InfoMyCa.exe
O4 - HKCU\..\Run: [VoipDiscount] "C:\Programme\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" -nosplash -minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\Zubehör\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [RoboForm] "D:\Programme\Zubehör\Robo\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [Veoh] "D:\Programme\Video\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: RF - Formular ausfüllen - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComFillForms.html (file missing)
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComFillForms.html (file missing)
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComSavePass.html (file missing)
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComSavePass.html (file missing)
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComShowToolbar.html (file missing)
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Programme\Zubeh%F6r\Robo\RoboFormComShowToolbar.html (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - D:\Programme\Spiele\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: nnnnMgeC - C:\WINDOWS\SYSTEM32\nnnnMgeC.dll
O20 - Winlogon Notify: OPXPGina - D:\Programme\Zubehör\OmniPass\opxpgina.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Belkin 54Mbps Wireless USB Network Service (Belkin 54Mbps Wireless USB) - Unknown owner - C:\Programme\BELKIN USB Wireless Monitor\WLService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Net Objective (NetObjectiveSvc) - Unknown owner - D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - D:\Programme\Zubehör\OmniPass\Omniserv.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\Programme\Internet\OpenVPN\bin\openvpnserv.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe









combofix

ComboFix 08-04-22.5 - moe 2008-04-24 10:37:31.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.653 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\moe\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 10:01 . 2008-04-24 10:01 <DIR> d-------- C:\Programme\CleanUp!
2008-04-24 02:48 . 2008-04-24 10:05 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-24 02:36 . 2008-04-24 02:36 15 --a------ C:\WINDOWS\system32\ac6adcc2
2008-04-24 00:23 . 2008-04-24 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-22 11:32 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-22 11:31 . 2008-04-22 11:31 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-22 11:30 . 2008-04-22 11:39 4,620 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-22 11:28 . 2007-04-04 15:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-22 11:28 . 2008-04-24 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-22 11:28 . 2008-04-22 11:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2008-04-22 11:28 . 2008-04-22 11:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-22 11:28 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-22 11:28 . 2008-04-24 10:37 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-22 11:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-22 11:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-22 11:23 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-22 11:23 . 2008-04-21 10:01 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-22 11:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-22 11:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-22 11:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-21 23:08 . 2008-04-21 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons
2008-04-21 22:43 . 2008-04-21 22:43 272,896 --a------ C:\WINDOWS\system32\qoMgfDtU.dll
2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Cisco Systems
2008-04-21 21:47 . 2008-04-21 21:48 1,594 --a------ C:\WINDOWS\VPNInstall.MIF
2008-04-21 21:42 . 2008-04-21 13:48 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-21 21:42 . 2008-04-21 13:48 81,920 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-21 21:42 . 2008-04-21 21:42 39,936 --a------ C:\WINDOWS\system32\nnnnMgeC.dll
2008-04-21 21:23 . 2008-04-21 21:23 94,208 --a------ C:\WINDOWS\DIIUnin.exe
2008-04-21 21:23 . 2008-04-21 21:23 18,258 --a------ C:\WINDOWS\DIIUnin.dat
2008-04-21 21:23 . 2008-04-21 21:23 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-03-30 20:28 . 2008-03-30 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm
2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Yahoo!
2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-03-25 13:19 . 2008-03-25 13:20 <DIR> d-------- C:\Programme\Yahoo!
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 00:38 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Skype
2008-04-24 00:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-23 16:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-22 08:57 --------- d-----w C:\Programme\BELKIN USB Wireless Monitor
2008-04-21 19:40 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-04-21 19:40 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-04-21 19:40 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-04-15 20:52 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\teamspeak2
2008-04-11 14:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-30 18:27 --------- d-----w C:\Programme\Siber Systems
2008-03-25 18:15 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\dvdcss
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 12:36 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-03-14 12:32 181,655 ----a-w C:\WINDOWS\system32\msvcr71.zip
2008-03-14 11:47 21,275 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-03-13 14:23 --------- d-----w C:\Programme\OXXOGames
2008-03-13 13:38 --------- d-----w C:\Programme\Windows Live
2008-03-13 10:00 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\OpenOffice.org2
2008-03-10 19:14 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\xpce
2008-03-10 08:22 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\SWI-Prolog
2008-03-07 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
2008-03-07 06:58 --------- d-----w C:\Programme\Java
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F}]
C:\Programme\Outerinfo\Outerinfo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F50B3F5E-856E-4757-9BB1-B35D46CA7719}]
2008-04-21 21:42 39936 --a------ C:\WINDOWS\system32\nnnnMgeC.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF95BDE4-453F-4011-8261-879324EB36A0}]
2008-04-21 22:43 272896 --a------ C:\WINDOWS\system32\qoMgfDtU.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VoipDiscount"="C:\Programme\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" [ ]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10 23237416]
"DAEMON Tools"="D:\Programme\Zubehör\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"RoboForm"="D:\Programme\Zubehör\Robo\RoboTaskBarIcon.exe" [2008-03-30 20:27 160592]
"Veoh"="D:\Programme\Video\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-08-24 17:24 88203 C:\WINDOWS\AGRSMMSG.exe]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 22:59 401408]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 22:59 385024]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-03 23:03 356352]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 13:36 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-11-30 11:47 61440]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-11-08 10:19 81920]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 19:04 761945]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-22 00:51 7335936]
"nwiz"="nwiz.exe" [2005-11-22 00:51 1519616 C:\WINDOWS\system32\nwiz.exe]
"openvpn-gui"="D:\Programme\Internet\OpenVPN\bin\openvpn-gui.exe" [2005-04-21 11:46 98816]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"WinampAgent"="D:\Programme\Zubehör\Winamp\winampa.exe" [ ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 00:38 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-25 19:30 185632]
"QuickTime Task"="D:\Programme\Video\qttask.exe" [2007-06-29 06:24 286720]
"OmniPass"="D:\Programme\Zubehör\OmniPass\scureapp.exe" [2005-11-15 16:57 1847296]
"RemoteControl"="D:\Programme\Zubehör\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"PCMService"="D:\Programme\Zubehör\Home Cinema\PowerCinema\PCMService.exe" [2005-12-30 01:28 139264]
"Adobe Reader Speed Launcher"="D:\Programme\Zubehör\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Getca"="C:\Programme\BELKIN USB Wireless Monitor\InfoMyCa.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
VPN Client.lnk - C:\WINDOWS\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-04-21 21:48:44 6144]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F50B3F5E-856E-4757-9BB1-B35D46CA7719}"= C:\WINDOWS\system32\nnnnMgeC.dll [2008-04-21 21:42 39936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2005-10-03 22:59 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnnMgeC]
nnnnMgeC.dll 2008-04-21 21:42 39936 C:\WINDOWS\system32\nnnnMgeC.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
D:\Programme\Zubehör\OmniPass\opxpgina.dll 2005-11-15 16:57 49152 D:\Programme\Zubehör\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-03 17:20 1266936 D:\Programme\Spiele\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Video\\VLC\\vlc.exe"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\kaiderhai\\counter-strike\\hl.exe"=
"D:\\Programme\\Internet\\QIP\\qip.exe"=
"D:\\Programme\\Spiele\\Stronghold2\\Stronghold2.exe"=
"D:\\Programme\\Spiele\\Soldat\\Soldat.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"D:\\Programme\\Internet\\[G]Script48\\mircG4.8.exe"=
"D:\\Programme\\Spiele\\Dreamlords\\dreamlords.exe"=
"D:\\Programme\\Spiele\\Steam\\Steam.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Internet\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Octoshape Streaming Services\\moe\\OctoshapeClient.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\rogga580\\counter-strike\\hl.exe"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\richard1984\\counter-strike\\hl.exe"=
"D:\\Programme\\Spiele\\HLSW\\hlsw.exe"=
"D:\\Programme\\Internet\\QIP Infium\\infium.exe"=
"D:\\progra\\eclipse\\eclipse\\eclipse.exe"=
"D:\\Programme\\Video\\Veoh Networks\\Veoh\\VeohClient.exe"=
"D:\\Programme\\Spiele\\Diablo II\\Game.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4444:TCP"= 4444:TCP:Netzmonitor fürs Klassenzimmer

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R1 hwinterface;hwinterface;C:\WINDOWS\system32\Drivers\hwinterface.sys [2008-02-21 21:44]
R2 Belkin 54Mbps Wireless USB;Belkin 54Mbps Wireless USB Network Service;C:\Programme\BELKIN USB Wireless Monitor\WLService.exe [2003-06-09 12:24]
R2 NetObjectiveSvc;Net Objective;D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe [2006-04-19 10:41]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16]
R3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 03:54]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f43d6b5b-b08f-11dc-832b-005056c00008}]
\Shell\AutoRun\command - H:\setupSNK.exe

*Newly Created Service* - GTNDIS5
.
Inhalt des "geplante Tasks" Ordners
"2008-04-22 07:45:45 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-23 22:30:24 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 10:38:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 3

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> D:\Programme\Zubehör\OmniPass\opxpgina.dll
-> C:\WINDOWS\system32\nnnnMgeC.dll
.
Zeit der Fertigstellung: 2008-04-24 10:39:47
ComboFix-quarantined-files.txt 2008-04-24 08:39:23
ComboFix2.txt 2008-04-24 06:40:33

7 Verzeichnis(se), 7,706,411,008 Bytes frei
9 Verzeichnis(se), 7,761,657,856 Bytes frei

201 --- E O F --- 2008-04-12 01:06:11

#2 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F50B3F5E-856E-4757-9BB1-B35D46CA7719}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F50B3F5E-856E-4757-9BB1-B35D46CA7719}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF95BDE4-453F-4011-8261-879324EB36A0}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnnMgeC]

File::
C:\WINDOWS\system32\ac6adcc2
C:\WINDOWS\system32\qoMgfDtU.dll
C:\WINDOWS\olgdqarf.exe
C:\WINDOWS\wxvgsdbq.exe
C:\WINDOWS\system32\nnnnMgeC.dll

Folder::
C:\Programme\Outerinfo

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

PC neustarten
---------

poste ein neus Log von Combofix, bitte
__________
MfG Sabina

rund um die PC-Sicherheit

#3 jo vielen dank für die schnelle und kompetente hilfe würd dir ja direkt nen bier ausgeben





ComboFix 08-04-22.5 - moe 2008-04-24 11:06:43.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.683 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\moe\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\moe\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\olgdqarf.exe
C:\WINDOWS\system32\ac6adcc2
C:\WINDOWS\system32\nnnnMgeC.dll
C:\WINDOWS\system32\qoMgfDtU.dll
C:\WINDOWS\wxvgsdbq.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\olgdqarf.exe
C:\WINDOWS\system32\ac6adcc2
C:\WINDOWS\system32\nnnnMgeC.dll
C:\WINDOWS\wxvgsdbq.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 10:01 . 2008-04-24 10:01 <DIR> d-------- C:\Programme\CleanUp!
2008-04-24 02:48 . 2008-04-24 10:05 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-24 00:23 . 2008-04-24 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-22 11:32 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-22 11:31 . 2008-04-22 11:31 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-22 11:30 . 2008-04-22 11:39 4,620 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-22 11:28 . 2007-04-04 15:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-22 11:28 . 2008-04-24 10:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-22 11:28 . 2007-04-04 16:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-22 11:28 . 2008-04-22 11:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2008-04-22 11:28 . 2008-04-22 11:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-22 11:28 . 2008-04-22 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-22 11:28 . 2008-04-24 11:06 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-22 11:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-22 11:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-22 11:23 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-22 11:23 . 2008-04-21 10:01 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-22 11:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-22 11:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-22 11:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-21 23:08 . 2008-04-21 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons
2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-04-21 21:48 . 2008-04-21 21:48 <DIR> d-------- C:\Programme\Cisco Systems
2008-04-21 21:47 . 2008-04-21 21:48 1,594 --a------ C:\WINDOWS\VPNInstall.MIF
2008-04-21 21:23 . 2008-04-21 21:23 94,208 --a------ C:\WINDOWS\DIIUnin.exe
2008-04-21 21:23 . 2008-04-21 21:23 18,258 --a------ C:\WINDOWS\DIIUnin.dat
2008-04-21 21:23 . 2008-04-21 21:23 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-03-30 20:28 . 2008-03-30 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm
2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Yahoo!
2008-03-25 13:22 . 2008-03-25 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-03-25 13:19 . 2008-03-25 13:20 <DIR> d-------- C:\Programme\Yahoo!
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 09:11 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\Skype
2008-04-24 00:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-23 16:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-22 08:57 --------- d-----w C:\Programme\BELKIN USB Wireless Monitor
2008-04-21 19:40 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-04-21 19:40 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-04-21 19:40 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-04-15 20:52 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\teamspeak2
2008-04-11 14:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-30 18:27 --------- d-----w C:\Programme\Siber Systems
2008-03-25 18:15 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\dvdcss
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 12:36 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-03-14 12:32 181,655 ----a-w C:\WINDOWS\system32\msvcr71.zip
2008-03-14 11:47 21,275 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-03-13 14:23 --------- d-----w C:\Programme\OXXOGames
2008-03-13 13:38 --------- d-----w C:\Programme\Windows Live
2008-03-13 10:00 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\OpenOffice.org2
2008-03-10 19:14 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\xpce
2008-03-10 08:22 --------- d-----w C:\Dokumente und Einstellungen\moe\Anwendungsdaten\SWI-Prolog
2008-03-07 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
2008-03-07 06:58 --------- d-----w C:\Programme\Java
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-04-24_10.39.02,76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-24 01:33:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-24 09:09:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VoipDiscount"="C:\Programme\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" [ ]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10 23237416]
"DAEMON Tools"="D:\Programme\Zubehör\DAEMON Tools\daemon.exe" [ ]
"RoboForm"="D:\Programme\Zubehör\Robo\RoboTaskBarIcon.exe" [ ]
"Veoh"="D:\Programme\Video\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-08-24 17:24 88203 C:\WINDOWS\AGRSMMSG.exe]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 22:59 401408]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 22:59 385024]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-03 23:03 356352]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 13:36 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-11-30 11:47 61440]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-11-08 10:19 81920]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 19:04 761945]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-22 00:51 7335936]
"nwiz"="nwiz.exe" [2005-11-22 00:51 1519616 C:\WINDOWS\system32\nwiz.exe]
"openvpn-gui"="D:\Programme\Internet\OpenVPN\bin\openvpn-gui.exe" [2005-04-21 11:46 98816]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"WinampAgent"="D:\Programme\Zubehör\Winamp\winampa.exe" [ ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 00:38 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-25 19:30 185632]
"QuickTime Task"="D:\Programme\Video\qttask.exe" [2007-06-29 06:24 286720]
"OmniPass"="D:\Programme\Zubehör\OmniPass\scureapp.exe" [ ]
"RemoteControl"="D:\Programme\Zubehör\Home Cinema\PowerDVD\PDVDServ.exe" [ ]
"PCMService"="D:\Programme\Zubehör\Home Cinema\PowerCinema\PCMService.exe" [ ]
"Adobe Reader Speed Launcher"="D:\Programme\Zubehör\Reader 8.0\Reader\Reader_sl.exe" [ ]
"Getca"="C:\Programme\BELKIN USB Wireless Monitor\InfoMyCa.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2005-10-03 22:59 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
D:\Programme\Zubehör\OmniPass\opxpgina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-03 17:20 1266936 D:\Programme\Spiele\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Video\\VLC\\vlc.exe"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\kaiderhai\\counter-strike\\hl.exe"=
"D:\\Programme\\Internet\\QIP\\qip.exe"=
"D:\\Programme\\Spiele\\Stronghold2\\Stronghold2.exe"=
"D:\\Programme\\Spiele\\Soldat\\Soldat.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"D:\\Programme\\Internet\\[G]Script48\\mircG4.8.exe"=
"D:\\Programme\\Spiele\\Dreamlords\\dreamlords.exe"=
"D:\\Programme\\Spiele\\Steam\\Steam.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Internet\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Octoshape Streaming Services\\moe\\OctoshapeClient.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\rogga580\\counter-strike\\hl.exe"=
"D:\\Programme\\Spiele\\Steam\\steamapps\\richard1984\\counter-strike\\hl.exe"=
"D:\\Programme\\Spiele\\HLSW\\hlsw.exe"=
"D:\\Programme\\Internet\\QIP Infium\\infium.exe"=
"D:\\progra\\eclipse\\eclipse\\eclipse.exe"=
"D:\\Programme\\Video\\Veoh Networks\\Veoh\\VeohClient.exe"=
"D:\\Programme\\Spiele\\Diablo II\\Game.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4444:TCP"= 4444:TCP:Netzmonitor fürs Klassenzimmer

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R1 hwinterface;hwinterface;C:\WINDOWS\system32\Drivers\hwinterface.sys [2008-02-21 21:44]
R2 Belkin 54Mbps Wireless USB;Belkin 54Mbps Wireless USB Network Service;C:\Programme\BELKIN USB Wireless Monitor\WLService.exe [2003-06-09 12:24]
R2 NetObjectiveSvc;Net Objective;D:\Programme\Netzwerk\NetObjective\NetObjectiveSvc.exe [2006-04-19 10:41]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16]
R3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 03:54]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f43d6b5b-b08f-11dc-832b-005056c00008}]
\Shell\AutoRun\command - H:\setupSNK.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-22 07:45:45 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-23 22:30:24 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 11:10:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 3

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> D:\Programme\Zubehör\OmniPass\opxpgina.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\BELKIN USB Wireless Monitor\WLanCfgG.exe
D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Zubehör\OmniPass\OmniServ.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Common Files\X10\Common\X10nets.exe
D:\Programme\Zubehör\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
D:\Programme\Zubehör\OmniPass\OPXPApp.exe
C:\Programme\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 11:15:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-24 09:15:18
ComboFix2.txt 2008-04-24 08:39:48
ComboFix3.txt 2008-04-24 06:40:33

7 Verzeichnis(se), 7,725,604,864 Bytes frei
8 Verzeichnis(se), 7,713,275,904 Bytes frei

227 --- E O F --- 2008-04-12 01:06:11

#4 Hallo,

es müsste wieder alles o.k. sein

«
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

+
scanne noch mit Malwarebytes + lasse alles löschen, was noch gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hmmmm ... habe alles nochmal scannen lassen, und es wurde nix gefunden .... dafür hat sich grade aber der vundo wieder gemeldet :/ was soll ich machen?

#6 Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

__________
MfG Argus

#7 hab ich gemacht ... muss ich jetzt noch mal combofix oder so laufen lassen oder ist der virus nu weg?

#8 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons" >>files.txt
notepad files.txt

2.
wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 1.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC6A-CEE3

Verzeichnis von C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons

21.04.2008 23:08 <DIR> .
21.04.2008 23:08 <DIR> ..
21.04.2008 21:23 731 Diablo II.lnk
16.03.2008 16:09 651 Dreamlords.lnk
25.03.2008 13:19 641 FLV Player.lnk
15.11.2007 23:17 829 gitar tabs.lnk
15.01.2008 19:25 595 HLSW.lnk
08.04.2008 06:40 834 Launch VeohTV.lnk
11.02.2008 19:35 663 QIP 2005.lnk
11.02.2008 19:37 649 QIP Infium.lnk
21.07.2007 03:48 357 Serien.lnk
17.05.2007 21:28 671 VentriloMIX.lnk
13.06.2007 14:07 677 Verkn�pfung mit firefox.exe.lnk
11 Datei(en) 7.298 Bytes
2 Verzeichnis(se), 7.702.790.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC6A-CEE3

Verzeichnis von C:\Dokumente und Einstellungen\moe\Anwendungsdaten\TmpRecentIcons

21.04.2008 23:08 <DIR> .
21.04.2008 23:08 <DIR> ..
21.04.2008 21:23 731 Diablo II.lnk
16.03.2008 16:09 651 Dreamlords.lnk
25.03.2008 13:19 641 FLV Player.lnk
15.11.2007 23:17 829 gitar tabs.lnk
15.01.2008 19:25 595 HLSW.lnk
08.04.2008 06:40 834 Launch VeohTV.lnk
11.02.2008 19:35 663 QIP 2005.lnk
11.02.2008 19:37 649 QIP Infium.lnk
21.07.2007 03:48 357 Serien.lnk
17.05.2007 21:28 671 VentriloMIX.lnk
13.06.2007 14:07 677 Verkn�pfung mit firefox.exe.lnk
11 Datei(en) 7.298 Bytes
2 Verzeichnis(se), 7.702.560.768 Bytes frei



2.

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

25.04.2008 NeroDigital.ini 06 18:116
24.04.2008 WindowsUpdate.log 23 57:1.835.231
24.04.2008 system.ini 11 10:261
24.04.2008 0.log 11 09:0
24.04.2008 bootstat.dat 11 09:2.048
24.04.2008 SchedLgU.Txt 11 08:32.584
22.04.2008 nsreg.dat 11 31:0
21.04.2008 VPNInstall.MIF 21 48:1.594
21.04.2008 DIIUnin.dat 21 23:18.258
21.04.2008 DIIUnin.pif 21 23:2.829
21.04.2008 DIIUnin.exe 21 23:94.208
13.03.2008 SIERRA.INI 15 32:25
03.01.2008 magix.ini 14 04:24
19.10.2007 WMSysPr9.prx 19 53:316.640
19.10.2007 winamp.ini 19 51:95
10.09.2007 EngineExe.INI 19 35:0
10.09.2007 PanelExe.INI 19 34:0
10.09.2007 MessageExe.INI 19 34:0
10.09.2007 FileMgrExe.INI 19 30:0
25.08.2007 cdplayer.ini 19 32:25
25.08.2007 mozver.dat 19 31:846
12.08.2007 setupapi.log.0.old 01 33:1.238.862
21.06.2007 win.ini 00 06:553
13.06.2007 explorer.exe 15 21:1.036.288
06.06.2007 hash.dat 20 53:32
05.04.2007 CD_Start.INI 11 27:32
04.04.2007 REGLOCS.OLD 15 24:8.192


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

24.04.2008 nvapps.xml 11 10:41.156
24.04.2008 wpa.dbl 11 09:2.206
23.04.2008 clkcnt.txt 11 48:0
22.04.2008 tmp.txt 11 39:0
22.04.2008 tmp.reg 11 39:4.620
21.04.2008 SIntf32.dll 21 40:17.212
21.04.2008 SIntfNT.dll 21 40:21.840
21.04.2008 SIntf16.dll 21 40:12.067
21.04.2008 IEDFix.exe 10 01:82.432
14.04.2008 VACFix.exe 19 28:86.528
12.04.2008 perfh009.dat 03 05:397.894
12.04.2008 perfc007.dat 03 05:72.886
12.04.2008 perfh007.dat 03 05:411.840
12.04.2008 perfc009.dat 03 05:60.114
12.04.2008 PerfStringBackup.INI 03 05:907.998
10.04.2008 FNTCACHE.DAT 16 24:101.440
06.04.2008 MRT.exe 07 56:19.836.024
20.03.2008 win32k.sys 10 03:1.845.376
14.03.2008 msvcr71.zip 14 32:181.655
14.03.2008 results.txt 13 47:472
07.03.2008 jupdate-1.6.0_05-b13.log 08 58:6.641
22.02.2008 javaws.exe 03 33:139.264
22.02.2008 javacpl.cpl 03 33:69.632
22.02.2008 javaw.exe 02 23:135.168
22.02.2008 java.exe 02 23:135.168
20.02.2008 gdi32.dll 08 50:282.624
20.02.2008 dnsapi.dll 07 33:148.992
20.02.2008 dnsrslvr.dll 07 33:45.568
17.02.2008 mshtml.dll 00 29:3.080.704
16.02.2008 shlwapi.dll 10 59:474.624
16.02.2008 shdocvw.dll 10 59:1.494.528
16.02.2008 urlmon.dll 10 59:617.984
16.02.2008 wininet.dll 10 59:665.088
16.02.2008 mshtmled.dll 10 59:449.024
16.02.2008 pngfilt.dll 10 59:39.424
16.02.2008 msrating.dll 10 59:146.432
16.02.2008 mstime.dll 10 59:532.480
16.02.2008 jsproxy.dll 10 59:16.384
16.02.2008 extmgr.dll 10 59:55.808
16.02.2008 iepeers.dll 10 59:251.392
16.02.2008 dxtmsft.dll 10 59:357.888
16.02.2008 dxtrans.dll 10 59:205.312
16.02.2008 inseng.dll 10 59:96.768
16.02.2008 cdfview.dll 10 59:152.064
16.02.2008 danim.dll 10 59:1.056.256
16.02.2008 browseui.dll 10 59:1.023.488
16.02.2008 xpsp3res.dll 01 03:374.272


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****




Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 25.04.2008 um 13:41:17,71 ***

#10 Hallo,

Lösche:
C:\WINDOWS\system32\clkcnt.txt

vorher klicke auf die txt-Datei mit Rechtsklick - Mit Texteditor öffnen - poste mir, was da steht

«
dann wende noch mal Cleaner an
http://www.ccleaner.de/?protecus.de

«
dann mache einen Onlinescan mit Bitdefender + berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 so .... ich habs geschafft nahezu alles falsch zu machen. datei hab ich gelöscht ohne anzugucken, dann hab ich CCleaner durchlaufen lassen. danach wollte ich den bitdefender anschmeißen, ging aber nicht ... hab mir gedacht, ok, dann zieh ich einfach das prog und lass es so scannen. nach der install wurd allerdigs der pc neugestartet und somit ab ich keinen bericht vom CCleaner. dann hab ich mir den neuen inetexplorer gezogen und den online check gemacht. das kam raus.


allerdings ist vundo wieder da und stresst ohne ende. zusätzlich jetzt auch noch reboot.exe und restart.exe, die auch als virus erkannt werden :/




BitDefender Online Scanner - Real Time Virus Report


Scanned Files

332227

Infected Files

1

Virus Detected

Spyware.Tool.Nircmd.B

1

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.




die einzige datei die er gefunden und gelöscht hat war übrigens der combofix ...

#12 nun
alles wieder im grünen Bereich. Wenn es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#13 nene, nix ist im grünen bereich


die datei A0038385.exe enthält erkennungsmuster des
SPR/Tool.Reboot.C-Programmes ...

vundo ist auch wieder da mit den gleichen dlls. und antivir meldet das reboot.exe und restart.exe irgendwie versäucht sind.


'C:\QooBox\Quarantine\C\WINDOWS\system32\nnnnMgeC.dll.vir'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.GJ' [trojan]

C:\Dokumente und Einstellungen\moe\Desktop\SmitfraudFix\Reboot.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Reboot.C'

'C:\Dokumente und Einstellungen\moe\Desktop\SmitfraudFix\restart.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Hardoff.A'

'D:\System Volume Information\_restore{B4F68C5D-F67F-4A8F-AB2E-352A42168140}\RP361\A0038386.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Hardoff.A'



was davon jetzt viren sind darfst du mir erklären

ich habe wie oben im forum mein antivir eingestellt, vllt liegt es daran das er jetzt diese ganzen sachen findet.

#14 Hallo,

««
das solltest du ausführen, hatte ich schon geschrieben: damit die Quarantäne rauskommt

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

oder lösche selbst: C:\QooBox\Quarantine

«
smitfraudfix ist keine Bedrohung: SPR/Tool, du kannst es löschen.

««
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit