Home » Viren, Trojaner & Malware Forum » vundo.gen - AntiSpyware (Rogue-Programm) » Themenansicht

vundo.gen - AntiSpyware (Rogue-Programm)
#0
24.04.2008, 22:04
msbab
...neu hier

Beiträge: 2
#1 Hallo zusammen,
ich habe hier schon viel mitgelesen, was die Vundo-Entfernung betrifft. Da das Ding aber ja random-Namen vergibt, benötigt man scheinbar einen auf den speziellen Fall zugeschnittenen Lösungsweg. Sorry, wenn das jetzt der x.te Thread mit dem Thema ist. Würde mich über Hilfe trotzdem freuen.

Ich habe mich an einige Vorgaben gehalten und den CCleaner bzw. CleanUp! laufen lassen, danach Combofix und Hijackthis. Die beiden Logfiles möchte ich natürlich niemandem vorenthalten:

Combofix:

Code


ComboFix 08-04-22.5 - Marc 2008-04-24 21:41:07.1 - NTFSx86
Microsoft® Windows Vista™ Business   6.0.6000.0.1252.1.1031.18.1209 [GMT 2:00]
ausgeführt von:: C:\Users\Marc\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\17PHolmes1535.exe
C:\Windows\system32\aunjekno.dll
C:\Windows\system32\awttqopq.dll
C:\Windows\System32\cxgssnyp.ini
C:\Windows\system32\dqcuqora.dll
C:\Windows\System32\egludpen.ini
C:\Windows\System32\JmVyIRqr.ini
C:\Windows\System32\JmVyIRqr.ini2
C:\Windows\system32\ljJcYpPf.dll
C:\Windows\system32\mlJbyyvV.dll
C:\Windows\system32\nepdulge.dll
C:\Windows\System32\onkejnua.ini
C:\Windows\system32\ordnygrh.dll
C:\Windows\system32\pynssgxc.dll
C:\Windows\system32\qqbjhidx.dll
C:\Windows\System32\Rrruxyxx.ini
C:\Windows\System32\Rrruxyxx.ini2
C:\Windows\System32\TCMSuxbc.ini
C:\Windows\System32\TCMSuxbc.ini2
C:\Windows\System32\VvyybJlm.ini
C:\Windows\System32\VvyybJlm.ini2

.
(((((((((((((((((((((((   Dateien erstellt von 2008-03-24 bis 2008-04-24  ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 19:48    ---------    d---a-w    C:\ProgramData\TEMP
2008-04-24 19:46    ---------    d-----w    C:\Users\Marc\AppData\Roaming\WTablet
2008-04-24 19:43    0    ----a-w    C:\Windows\system32\drivers\lvuvc.hs
2008-04-24 19:14    ---------    d-----w    C:\ProgramData\Avira
2008-04-24 18:56    ---------    d-----w    C:\Users\Marc\AppData\Roaming\foobar2000
2008-04-24 18:40    ---------    d-----w    C:\Users\Marc\AppData\Roaming\dvdcss
2008-04-24 18:10    ---------    d-----w    C:\Program Files\Java
2008-04-24 17:14    ---------    d-----w    C:\Program Files\Windows Mail
2008-04-24 17:13    ---------    d-----w    C:\ProgramData\Microsoft Help
2008-04-24 17:13    ---------    d-----w    C:\Program Files\Microsoft Works
2008-04-24 17:02    ---------    d-----w    C:\Users\Administrator\AppData\Roaming\WTablet
2008-04-24 16:54    262,144    ----a-w    C:\ntuser.dat
2008-04-24 12:27    ---------    d-----w    C:\Users\Marc\AppData\Roaming\Sunbelt Software
2008-04-24 09:45    ---------    d-----w    C:\Users\Marc\AppData\Roaming\Antispyware
2008-04-24 09:39    ---------    d-----w    C:\Users\Administrator\AppData\Roaming\Antispyware
2008-04-24 08:41    ---------    d--h--w    C:\Program Files\InstallShield Installation Information
2008-04-24 08:37    ---------    d-----w    C:\ProgramData\Ulead Systems
2008-04-23 18:25    ---------    d-----w    C:\Users\Marc\AppData\Roaming\Ulead Systems
2008-04-23 18:14    ---------    d-----w    C:\Program Files\Windows Media Components
2008-04-23 18:14    ---------    d-----w    C:\Program Files\Common Files\InterVideo
2008-04-23 18:01    ---------    d-----w    C:\Users\Marc\AppData\Roaming\Azureus
2008-04-23 10:19    ---------    d-----w    C:\ProgramData\MAGIX
2008-04-23 10:18    ---------    d-----w    C:\Program Files\Common Files\MAGIX Shared
2008-04-20 14:40    ---------    d-----w    C:\Users\Marc\AppData\Roaming\OpenOffice.org2
2008-04-19 15:03    ---------    d-----w    C:\Users\Marc\AppData\Roaming\FileZilla
2008-04-10 21:14    ---------    d-----w    C:\Program Files\NVIDIA nTune Performance Application
2008-04-07 19:57    ---------    d-----w    C:\Users\Marc\AppData\Roaming\Skype
2008-04-07 16:56    ---------    d-----w    C:\Users\Marc\AppData\Roaming\gnupg
2008-04-06 17:57    ---------    d-----w    C:\Program Files\OpenOffice.org 2.3
2008-04-05 21:14    ---------    d-----w    C:\ProgramData\SlySoft
2008-04-05 18:32    ---------    d-----w    C:\Users\Marc\AppData\Roaming\winpt
2008-04-05 12:19    ---------    d-----w    C:\Program Files\MSXML 4.0
2008-04-04 20:00    ---------    d-----w    C:\Users\Marc\AppData\Roaming\vlc
2008-04-04 19:12    ---------    d-----w    C:\ProgramData\MiKTeX
2008-04-04 17:49    ---------    d-----w    C:\Users\Marc\AppData\Roaming\DeepBurner
2008-04-04 17:38    ---------    d-----w    C:\Users\Marc\AppData\Roaming\GetRightToGo
2008-04-04 17:09    ---------    d-----w    C:\Program Files\MSBuild
2008-04-02 21:05    ---------    d-----w    C:\Program Files\Common Files\Vbox
2008-03-29 10:07    215,144    ----a-w    C:\Windows\patchw32.dll
2008-03-27 22:02    97,600    ----a-w    C:\Windows\system32\drivers\AnyDVD.sys
2008-03-21 12:32    ---------    d-----w    C:\Users\Marc\AppData\Roaming\DivX
2008-03-16 15:46    22,328    ----a-w    C:\Windows\system32\drivers\PnkBstrK.sys
2008-03-13 19:20    ---------    d-----w    C:\Users\Marc\AppData\Roaming\teamspeak2
2008-03-12 19:39    ---------    d-----w    C:\ProgramData\Creative Labs
2008-03-12 19:39    ---------    d-----w    C:\ProgramData\Creative
2008-03-12 19:31    ---------    d-----w    C:\Program Files\Creative
2008-03-12 19:31    ---------    d-----w    C:\Program Files\Common Files\Creative Labs Shared
2008-03-08 02:14    148,992    ----a-w    C:\Windows\system32\drivers\ks.sys
2008-03-06 21:11    ---------    d-----w    C:\Program Files\Microsoft.NET
2008-03-02 10:29    ---------    d-----w    C:\Program Files\Common Files\Wise Installation Wizard
2008-03-02 10:29    ---------    d-----w    C:\Program Files\AGEIA Technologies
2008-03-02 09:34    ---------    d-----w    C:\Users\Marc\AppData\Roaming\Thunderbird
2008-03-02 09:26    ---------    d-----w    C:\Users\Marc\AppData\Roaming\Talkback
2008-03-02 08:34    ---------    d-----w    C:\Users\Marc\AppData\Roaming\PCToolsFirewallPlus
2008-03-01 19:51    ---------    d-----w    C:\Program Files\Microsoft Games
2008-02-29 19:45    ---------    d-----w    C:\Program Files\Tablet
2008-02-29 18:05    ---------    d-----w    C:\Users\Administrator\AppData\Roaming\Talkback
2008-02-29 17:21    ---------    d-----w    C:\ProgramData\NVIDIA
2008-02-29 16:48    ---------    d-----w    C:\Users\Administrator\AppData\Roaming\PCToolsFirewallPlus
2008-02-29 13:31    ---------    d-----w    C:\ProgramData\AppData
2008-02-21 04:43    52,736    ----a-w    C:\Windows\AppPatch\iebrshim.dll
2008-02-12 19:50    537,600    ----a-w    C:\Windows\AppPatch\AcLayers.dll
2008-02-12 19:50    449,536    ----a-w    C:\Windows\AppPatch\AcSpecfc.dll
2008-02-12 19:50    2,560    ----a-w    C:\Windows\AppPatch\AcRes.dll
2008-02-12 19:50    2,144,256    ----a-w    C:\Windows\AppPatch\AcGenral.dll
2008-02-12 19:50    173,056    ----a-w    C:\Windows\AppPatch\AcXtrnal.dll
2008-02-11 22:08    2,923,520    ----a-w    C:\Windows\explorer.exe
2008-02-11 22:00    174    --sha-w    C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-11 23:46 1232896]
"NVIDIA nTune"="D:\nvidia\ntune\nTune\nTuneCmd.exe" [2007-09-04 19:25 81920]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2008-02-12 00:07 1006264]
"00PCTFW"="D:\firewall\FirewallGUI.exe" [2007-12-31 10:16 2594712]
"TweakUI 1.33 deutsch"="TWEAKUI.CPL" [2000-10-07 01:13 106544 C:\Windows\System32\TWEAKUI.CPL]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-12-11 18:06 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-12-11 18:06 8530464]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-12-11 18:06 81920]
"CTHelper"="CTHELPER.EXE" [2007-10-25 22:56 19456 C:\Windows\System32\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2007-10-25 22:56 19968 C:\Windows\System32\CTXFIHLP.EXE]
"Tweak UI 1.33 deutsch"="TWEAKUI.CPL" [2000-10-07 01:13 106544 C:\Windows\System32\TWEAKUI.CPL]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages    REG_MULTI_SZ       msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2006-10-16 22:13 87584 C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
--a------ 2006-10-16 22:17 1941784 D:\trueimage\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 D:\adobereader8\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSServer]
C:\Windows\system32\fccyXRJd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
--a------ 2006-10-16 22:12 1164912 D:\trueimage\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{7AD8A3D3-43E8-4876-B134-0BA1AB8B1E5E}D:\\miranda\\miranda32.exe"= UDP:D:\miranda\miranda32.exe:Miranda IM
"UDP Query User{CD9B40A3-3D9D-4436-AA52-10F8468255A2}D:\\miranda\\miranda32.exe"= TCP:D:\miranda\miranda32.exe:Miranda IM
"{290045C7-1D3A-493F-A89E-051B3375341D}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{65A45CDF-EB34-4576-8C12-C5114954B95C}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{760D49F9-BF3F-431D-A238-B449921C6DD1}"= UDP:G:\bf2142\BF2142.exe:Battlefield 2
"{C778E8AD-79D7-4E8F-A515-E2388767BDA8}"= TCP:G:\bf2142\BF2142.exe:Battlefield 2
"{1262212C-A5DF-49CD-8163-DE43401ADFBB}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{15C89D1F-602E-460B-B1A8-0802BDBA2E22}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{33A28F4D-FD9B-45DE-84C5-3271EEFC2735}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{842D7A04-D130-4140-ADAA-B1BABA049574}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{091B464C-38F9-4150-8614-B589CC902406}"= UDP:D:\itunes\iTunes.exe:iTunes
"{B6686880-A76F-4DAF-AA9D-453D2E0E1D60}"= TCP:D:\itunes\iTunes.exe:iTunes
"{DA4A9735-3B0B-4F29-A077-BE5FB7ACE06A}"= UDP:G:\callofduty4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) 
"{990F2270-80F5-478C-AAB1-82ACA242C6BB}"= TCP:G:\callofduty4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) 
"{4E79776D-6E51-4D29-94B0-C75DF79A5022}"= UDP:G:\Frontlines\Binaries\FFOW.exe:Frontlines Game
"{43A224B4-73D7-445D-9625-37AD2488653F}"= TCP:G:\Frontlines\Binaries\FFOW.exe:Frontlines Game
"{2D5B3F72-DA69-4D52-87C2-01BFF5EE25E9}"= UDP:G:\ffow\Binaries\FFOW.exe:Frontlines Game
"{3653BB1E-B1CE-458F-AF33-64BC4FF84D9C}"= TCP:G:\ffow\Binaries\FFOW.exe:Frontlines Game
"{CF9D2D06-0DFF-4A64-AB54-13F98AA2B427}"= UDP:G:\nwn2\nwn2main.exe:Neverwinter Nights 2 Main
"{7B5CF151-D882-4B3D-8CAC-5CAEAD4847A4}"= TCP:G:\nwn2\nwn2main.exe:Neverwinter Nights 2 Main
"{A5539EE2-6502-4E11-94E9-30D7C3398BBA}"= UDP:G:\nwn2\nwn2main_amdxp.exe:Neverwinter Nights 2 AMD
"{2519D89A-6361-467F-B2C3-5A4EA8AF6113}"= TCP:G:\nwn2\nwn2main_amdxp.exe:Neverwinter Nights 2 AMD
"{C74E3BCC-EFF7-4D76-97B9-A440978D0918}"= UDP:G:\nwn2\nwupdate.exe:Neverwinter Nights 2 Updater
"{0E159419-826F-492F-8261-F621C7BC5D78}"= TCP:G:\nwn2\nwupdate.exe:Neverwinter Nights 2 Updater
"{DB46A3F8-0D7E-413C-9C97-51C021AEF12E}"= UDP:G:\nwn2\nwn2server.exe:Neverwinter Nights 2 Server
"{26DDA9D6-5743-4646-B096-FDAED4D0C793}"= TCP:G:\nwn2\nwn2server.exe:Neverwinter Nights 2 Server
"{210E8CE6-5112-4636-90DD-681FF7114206}"= Disabled:UDP:D:\skype\Skype.exe:Skype
"{AD7AC72E-95E6-4B97-B628-C8144B43A631}"= Disabled:TCP:D:\skype\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R1 pctfw2;pctfw2;C:\Windows\System32\drivers\pctfw2.sys [2008-01-04 15:13]
R1 pctmp;PC Tools Firewall Memory Protection Driver;C:\Windows\system32\drivers\pctmp.sys [2008-01-04 15:13]
R1 pctssipc;PC Tools Security Suite IPC Driver;C:\Windows\system32\drivers\pctssipc.sys [2008-01-04 15:13]
R2 vnccom;vnccom;C:\Windows\system32\Drivers\vnccom.SYS [2004-06-26 14:22]
R3 ha20x2k;Creative 20X HAL Driver;C:\Windows\system32\drivers\ha20x2k.sys [2007-10-26 00:33]
R3 wacommousefilter;Wacom Mouse Filter Driver;C:\Windows\system32\DRIVERS\wacommousefilter.sys [2007-02-16 21:12]
R3 wacomvhid;Wacom Virtual Hid Driver;C:\Windows\system32\DRIVERS\wacomvhid.sys [2007-02-16 20:30]
S3 Creative ALchemy AL1 Licensing Service;Creative ALchemy AL1 Licensing Service;"C:\Program Files\Common Files\Creative Labs Shared\Service\AL1Licensing.exe" [2008-03-12 21:31]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Common\Database\bin\fbserver.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork    REG_MULTI_SZ       PLA DPS BFE mpssvc

.
Inhalt des "geplante Tasks" Ordners
"2008-04-24 09:40:52 C:\Windows\Tasks\Antispyware Scheduled Scan.job"
- C:\Program Files\AntiSpywareApp\AntiSpyware.ex
- C:\Program Files\AntiSpywareApp
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 21:49:07
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


E:\temp\TMP000000456983F92FCB699617 524288 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\wisptis.exe
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Common Files\microsoft shared\VS7DEBUG\mdm.exe
D:\nvidia\ntune\nTune\nTuneService.exe
C:\Windows\System32\PnkBstrA.exe
C:\Windows\System32\Tablet.exe
C:\Windows\System32\wisptis.exe
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\System32\WTablet\TabUserW.exe
C:\Windows\System32\Tablet.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\System32\wbem\WMIADAP.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\CTXFISPI.EXE
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\microsoft shared\ink\InputPersonalization.exe
C:\Windows\System32\dllhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 21:50:24 - machine was rebooted
ComboFix-quarantined-files.txt  2008-04-24 19:50:18

      Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
      Das System hat keinen Meldungstext fr die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

240    --- E O F ---    2008-04-22 18:09:16


und im Anschluss HiJackthis:

Code


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:29, on 24.04.2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\CTHELPER.EXE
C:\Windows\System32\CTXFIHLP.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\CTXFISPI.EXE
C:\Windows\system32\WTablet\TabUserW.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\firefox\firefox.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
D:\hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [00PCTFW] "D:\firewall\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\nvidia\ntune\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\office\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\office\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5EC77C-2519-4FFB-8513-F8CCFF2E80D8}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3A5EC77C-2519-4FFB-8513-F8CCFF2E80D8}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Creative ALchemy AL1 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\AL1Licensing.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\filezilla\server\FileZilla Server.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\nvidia\ntune\nTune\nTuneService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\Windows\system32\Tablet.exe

--
End of file - 4521 bytes


Das wäre mein Anfang. Jetzt wäre ich auf einigen Input angewiesen. Vielen Dank schonmal im Voraus!

Gruß
Marc
Seitenanfang Seitenende
24.04.2008, 22:45
Gastaccount
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#2 Hast du noch Probleme?

Mache einen Kontrollscan mit http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Seitenanfang Seitenende
25.04.2008, 15:17
msbab
...neu hier

Themenstarter

Beiträge: 2
#3 Danke vielmals!
Habe ich drüber laufen lassen, er fand 10 in Quarantäne. Habe ich mir eraser gelöscht.
AntiVir installiert - findet nix mehr!

Besten Dank!

Marc
Seitenanfang Seitenende
25.04.2008, 17:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo msbab

Adware.Win32.AntiSpywareApp
Risklevel: Elevated Risk

http://virus-protect.org/a2.html
http://www.emsisoft.com/en/malware/?Adware.Win32.AntiSpywareApp

«
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSServer]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTISPYWARE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\antispyware]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTISPYWARE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\antispyware]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTISPYWARE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\antispyware]
[-HKEY_CURRENT_USER\Software\Antispyware]

File::
C:\Windows\Tasks\Antispyware Scheduled Scan.job
C:\Windows\system32\fccyXRJd.dll

Folder::
C:\Program Files\AntiSpywareApp
C:\Users\Marc\AppData\Roaming\Antispyware
C:\Users\Administrator\AppData\Roaming\Antispyware
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen




danach: Combofix noch einmal anwenden

PC neustarten

---------
««
Ausführen bei Windows XP :

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1