Mal wieder Vundo!

#0
24.04.2008, 14:47
Member

Beiträge: 12
#1 auch bei mir is dieser Trojaner aktiv....bitte um hilfe....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:25:54, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\PrevxCSI\PrevxCSI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\System32\Suchspur.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - C:\WINDOWS\system32\xxyabxXP.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: (no name) - {CEAA3A92-F84E-4F51-B4FA-9BFB4452E533} - C:\WINDOWS\system32\jkkKecaB.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O20 - Winlogon Notify: xxyabxXP - C:\WINDOWS\SYSTEM32\xxyabxXP.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\\PrevxCSI.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7864 bytes




Combofix:

ComboFix 08-04-22.5 - Rosettenclown 2008-04-24 14:29:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.365 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Rosettenclown\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\BaceKkkj.ini
C:\WINDOWS\system32\BaceKkkj.ini2
C:\WINDOWS\system32\jkkKecaB.dll
C:\WINDOWS\system32\Suchspur.dll
C:\WINDOWS\system32\xxyabxXP.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 14:18 . 2008-04-24 14:18 <DIR> d-------- C:\Programme\Trend Micro
2008-04-24 13:59 . 2008-04-24 13:59 <DIR> d-------- C:\Programme\PrevxCSI
2008-04-24 13:59 . 2008-04-24 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-04-24 13:59 . 2008-04-24 13:59 10,880 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-04-24 13:41 . 2008-04-24 13:41 <DIR> d-------- C:\VundoFix Backups
2008-04-24 13:24 . 2008-04-24 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-23 22:43 . 2008-04-23 22:43 <DIR> d-------- C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\GameHouse
2008-04-23 22:26 . 2008-04-23 22:26 <DIR> d-------- C:\My Games
2008-04-23 22:25 . 2008-04-23 22:25 <DIR> d-------- C:\My Download Files
2008-04-23 22:24 . 2008-04-23 22:24 774,144 --a------ C:\Programme\RngInterstitial.dll
2008-04-22 17:08 . 2008-04-22 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Jane s Hotel Family Hero
2008-04-21 16:42 . 2008-04-21 16:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fugazo
2008-04-16 22:05 . 2008-04-16 22:07 <DIR> d-------- C:\Programme\Gamers.IRC
2008-04-03 01:26 . 2008-04-03 01:26 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-03-31 14:47 . 2008-03-31 14:47 <DIR> d-------- C:\CloneDVDTemp
2008-03-31 14:44 . 2008-03-31 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-03-31 14:44 . 2008-04-07 14:07 85 ---hs---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
2008-03-31 14:43 . 2008-03-31 14:44 48 ---hs---- C:\WINDOWS\S6699F1AF.tmp
2008-03-31 14:41 . 2008-03-31 14:41 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-03-29 12:39 . 2007-07-30 20:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-03-29 12:39 . 2007-07-30 20:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-03-29 12:39 . 2007-07-30 20:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-03-29 12:38 . 2008-03-29 12:39 <DIR> d-------- C:\Programme\Windows Live
2008-03-29 12:38 . 2008-03-29 12:38 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-29 12:38 . 2008-03-29 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
4 Datei(en) . 1,817 C:\ComboFix\Bytes
2 Datei(en) . 774,144 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 11:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-23 23:10 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Xfire
2008-04-23 22:20 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-23 22:19 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-04-23 20:52 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\teamspeak2
2008-04-23 20:41 --------- d-----w C:\Programme\eMule
2008-04-23 20:24 --------- d-----w C:\Programme\Real
2008-04-23 20:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-23 20:18 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-21 14:35 0 ----a-w C:\Programme\temp01
2008-04-21 13:21 --------- d-----w C:\Programme\Flower Shop Big City Break
2008-04-19 11:40 --------- d-----w C:\Programme\Xfire
2008-04-17 20:01 --------- d-----w C:\Programme\ICQ6
2008-04-12 13:05 --------- d-----w C:\Programme\Winamp
2008-04-12 13:04 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Free Download Manager
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-13 17:33 --------- d-----w C:\Programme\Sat1 Spiele
2008-03-10 00:49 --------- d-----w C:\Programme\Java
2008-03-03 15:14 --------- d-----w C:\Programme\PlayFirst
2008-03-03 14:39 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\PlayFirst
2008-03-01 14:52 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\MAGIX
2008-03-01 14:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-01 14:27 --------- d-----w C:\Programme\MAGIX
2008-02-25 16:54 --------- d-----w C:\Programme\DivX
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-18 20:06 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-15 12:13 691,545 ----a-w C:\WINDOWS\unins000.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5D945E9A-DC10-4670-83EB-99DAA616628A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6C54318-5AC7-477D-B0A7-49AF5189300C}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CEAA3A92-F84E-4F51-B4FA-9BFB4452E533}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 20:10 1688872]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 17:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 17:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 22:32 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-08-17 11:35 196608]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-06-01 17:22 86016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-29 15:35 180269]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 15:21 2213160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyabxXP]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"E:\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Programme\\Free Download Manager\\fdm.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 22:32]
R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-04-24 14:40]
R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 09:23]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 22:32]
R2 CSIScanner;CSIScanner;"C:\Programme\PrevxCSI\\PrevxCSI.exe" /service []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 jatmlano;jatmlano;C:\DOKUME~1\ROSETT~1\LOKALE~1\Temp\jatmlano.sys []
S3 phil2vid;Philips VGA-Kamera (USB);C:\WINDOWS\system32\DRIVERS\philcam2.sys [2001-08-17 14:04]
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 09:23]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 14:36:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\TEMP\2l65wazn.TMP

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 14:43:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-24 12:43:27

19 Verzeichnis(se), 31,352,524,800 Bytes frei
20 Verzeichnis(se), 31,642,796,032 Bytes frei

172 --- E O F --- 2008-04-09 11:33:32
Seitenanfang Seitenende
24.04.2008, 16:43
Moderator

Beiträge: 5694
#2 Combofix hat schon gute Arbeit getan.

Mache noch folgendes:

>>
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

>>
wende Cleaner an
http://www.virus-protect.org/ccleaner.html

>>
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.H*M

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
PC Neustarten


>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

Folgender Eintrag solltewomöglich noch aus der registry entfernt werden. Dies soll jedoch ein Admin anschauen:

Zitat

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyabxXP]
Gruss Swiss
Dieser Beitrag wurde am 24.04.2008 um 16:51 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
24.04.2008, 22:48
Member

Themenstarter

Beiträge: 12
#3 Schonmal vielen Dank Swiss

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 677

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 94503
Scan Dauer: 50 minute(s), 41 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Komisch....denn mein Antivir hat währenddessen gepiept und mir Vando angezeigt!?!?
Seitenanfang Seitenende
25.04.2008, 00:28
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als regfix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyabxXP]
Doppelklick auf regfix.reg und fuege es den registry zu

Rechner neu starten

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp

Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet

Scanne mit AVG Anti Spyware
http://virus-protect.org/ewido.html

Poste danach ein neuer log von Combofix und Hijack This
__________
MfG Argus
Seitenanfang Seitenende
25.04.2008, 15:05
Member

Themenstarter

Beiträge: 12
#5 ich bekomm Antvir nicht deinstalliert....habs auch schon mit Avuninstall probiert..
kommt immer ne fehlermeldung: Konnte einige komponenten nicht deinstallieren...

habe aber schon alles anderen programme geschlossen...

hmm jetzt gings...

Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:10:42, on 25.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Xfire\xfire.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgtray.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7882 bytes


Combofix

ComboFix 08-04-24.1 - Rosettenclown 2008-04-25 17:13:56.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.390 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Rosettenclown\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-25 bis 2008-04-25 ))))))))))))))))))))))))))))))
.

2008-04-25 15:35 . 2008-04-25 16:45 <DIR> d--h----- C:\$AVG8.VAULT$
2008-04-25 15:29 . 2008-04-25 15:30 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg
2008-04-25 15:29 . 2008-04-25 15:29 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-04-25 15:29 . 2008-04-25 15:29 75,272 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-04-25 15:29 . 2008-04-25 15:29 12,424 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-04-25 15:29 . 2008-04-25 15:29 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-04-25 14:06 . 2008-04-25 14:06 <DIR> d-------- C:\Programme\AVG
2008-04-25 14:06 . 2008-04-25 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\AVGTOOLBAR
2008-04-25 14:06 . 2008-04-25 15:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-04-24 21:53 . 2008-04-24 21:53 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-24 21:53 . 2008-04-24 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Malwarebytes
2008-04-24 21:53 . 2008-04-24 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-24 14:18 . 2008-04-24 14:18 <DIR> d-------- C:\Programme\Trend Micro
2008-04-24 13:24 . 2008-04-24 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-23 22:43 . 2008-04-23 22:43 <DIR> d-------- C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\GameHouse
2008-04-23 22:26 . 2008-04-23 22:26 <DIR> d-------- C:\My Games
2008-04-23 22:25 . 2008-04-23 22:25 <DIR> d-------- C:\My Download Files
2008-04-22 17:08 . 2008-04-22 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Jane s Hotel Family Hero
2008-04-21 16:42 . 2008-04-21 16:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fugazo
2008-04-16 22:05 . 2008-04-16 22:07 <DIR> d-------- C:\Programme\Gamers.IRC
2008-04-03 01:26 . 2008-04-03 01:26 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-03-31 14:47 . 2008-03-31 14:47 <DIR> d-------- C:\CloneDVDTemp
2008-03-31 14:44 . 2008-03-31 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-03-31 14:44 . 2008-04-07 14:07 85 ---hs---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
2008-03-31 14:43 . 2008-03-31 14:44 48 ---hs---- C:\WINDOWS\S6699F1AF.tmp
2008-03-31 14:41 . 2008-03-31 14:41 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-03-29 12:39 . 2007-07-30 20:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-03-29 12:39 . 2007-07-30 20:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-03-29 12:39 . 2007-07-30 20:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-03-29 12:38 . 2008-03-29 12:39 <DIR> d-------- C:\Programme\Windows Live
2008-03-29 12:38 . 2008-03-29 12:38 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-29 12:38 . 2008-03-29 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
4 Datei(en) . 1,817 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-25 15:13 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Xfire
2008-04-25 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-24 22:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-24 22:05 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-04-24 21:14 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\teamspeak2
2008-04-24 13:38 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-04-24 13:20 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Lavasoft
2008-04-23 20:41 --------- d-----w C:\Programme\eMule
2008-04-23 20:24 --------- d-----w C:\Programme\Real
2008-04-23 20:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-23 20:18 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-21 13:21 --------- d-----w C:\Programme\Flower Shop Big City Break
2008-04-19 11:40 --------- d-----w C:\Programme\Xfire
2008-04-17 20:01 --------- d-----w C:\Programme\ICQ6
2008-04-12 13:05 --------- d-----w C:\Programme\Winamp
2008-04-12 13:04 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\Free Download Manager
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-13 17:33 --------- d-----w C:\Programme\Sat1 Spiele
2008-03-10 00:49 --------- d-----w C:\Programme\Java
2008-03-03 15:14 --------- d-----w C:\Programme\PlayFirst
2008-03-03 14:39 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\PlayFirst
2008-03-01 14:52 --------- d-----w C:\Dokumente und Einstellungen\Rosettenclown\Anwendungsdaten\MAGIX
2008-03-01 14:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-01 14:27 --------- d-----w C:\Programme\MAGIX
2008-02-25 16:54 --------- d-----w C:\Programme\DivX
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-18 20:06 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-15 12:13 691,545 ----a-w C:\WINDOWS\unins000.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9990-79A187E2698E}]
2008-04-25 15:29 2051328 --a------ C:\Programme\AVG\AVG8\avgtoolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A057A204-BACC-4D26-9990-79A187E2698E}"= "C:\Programme\AVG\AVG8\avgtoolbar.dll" [2008-04-25 15:29 2051328]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-9990-79a187e2698e}]
[HKEY_CLASSES_ROOT\avgtoolbar.AVGTOOLBAR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 20:10 1688872]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 17:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 17:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-08-17 11:35 196608]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-06-01 17:22 86016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-29 15:35 180269]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 15:21 2213160]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-04-25 15:29 1177368]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\Rosettenclown\Startmen\Programme\Autostart\
Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-04-03 01:25:58 2987856]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"E:\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Programme\\Free Download Manager\\fdm.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"C:\\Programme\\AVG\\AVG8\\avgnsx.exe"=

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-04-25 15:29]
R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 09:23]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-04-25 15:29]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-04-25 15:29]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-04-25 15:29]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-04-25 15:29]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 jatmlano;jatmlano;C:\DOKUME~1\ROSETT~1\LOKALE~1\Temp\jatmlano.sys []
S3 phil2vid;Philips VGA-Kamera (USB);C:\WINDOWS\system32\DRIVERS\philcam2.sys [2001-08-17 14:04]
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 09:23]

*Newly Created Service* - AVG8EMC
*Newly Created Service* - AVG8WD
*Newly Created Service* - AVGLDX86
*Newly Created Service* - AVGMFX86
*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 17:16:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
Zeit der Fertigstellung: 2008-04-25 17:18:11
ComboFix-quarantined-files.txt 2008-04-25 15:17:59

17 Verzeichnis(se), 31,887,310,848 Bytes frei
20 Verzeichnis(se), 31,884,025,856 Bytes frei

168 --- E O F --- 2008-04-09 11:33:32
Dieser Beitrag wurde am 25.04.2008 um 17:19 Uhr von Reigam editiert.
Seitenanfang Seitenende
25.04.2008, 18:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal

C:\DOKUME~1\ROSETT~1\LOKALE~1\Temp\jatmlano.sys

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus
Seitenanfang Seitenende
25.04.2008, 19:22
Member

Themenstarter

Beiträge: 12
#7 Die einträge oben hab ich gefixed....
nur ist der Temp Ordner leer, also keine jatmlano.sys datei zu finden.
Seitenanfang Seitenende
25.04.2008, 19:39
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Benutze ein Cleaner
http://virus-protect.org/CCleaner.html

Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren


Schoenes Wochenende
__________
MfG Argus
Seitenanfang Seitenende
25.04.2008, 21:07
Member

Themenstarter

Beiträge: 12
#9 Super....Vielen Dank und schönes Wochenende!!! Greetz Reigam/Magier
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: