Trojan Horse Downloader. Zlob.12.S

#1 ich weiss einfach nicht mehr weiter !

alles fing damit an das ich einfach keine exen mehr öffnen konnte,
nach langem herumprobieren ging dies dann nach eineigen änderungen in der registry wieder.
nach einmal runterfahren und dann wieder starten, ging es munter weiter meine norton firewall zeigte von reboot zu reboot immer neue fehler an bis der pc schließlich den geist aufgab.
nach langem hin und her gelang es mir dann norton zu deinstalliern und AVG antivirus professional zu installieren.
nach einem ausführlichen scan und entfernen der viren die avg fand kam dann das nächste problem, egal was ich öffnen will systemsteuerungen rechte maustaste arbeitsplatz oder auch nur eigenschften generell sagt er mir
C:/windows/system32/rundll32
anwendung nicht gefunden
nach updaten der avg datenbank dann folgendes
C:dokumente und einstellungen\kai\ftp33.dll Trojan horse downloader Zlob.12.S

während des scans kommen immer neue warnungen z.b.
virus found poly.crypt
move to vault ?

desweiteren habe ich einen onlinescan des rechners machen lassen und dabei raus kam das hier.


Scan-Details
Hohe Gefährdungsstufe (0)
Mittlere Gefährdungsstufe (1)
Trj/Downloader... Virus
Latent
Anzeigen + Info
C:\WINDOWS\system32\ftp33.dll
Niedrige Gefährdungsstufe (15)
Cookie/Casalem... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...es.txt[.casalemedia.com/]
Cookie/BurstBe... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...txt[www.burstbeacon.com/]
Cookie/Doublec... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...es.txt[.doubleclick.net/]
Cookie/Atlas D... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...\cookies.txt[.atdmt.com/]
Cookie/Com.com Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...lt\cookies.txt[.com.com/]
Cookie/FastCli... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...kies.txt[.fastclick.net/]
Cookie/Adverti... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...es.txt[.advertising.com/]
Cookie/Tribalf... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...s.txt[.tribalfusion.com/]
Cookie/Tradedo... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...s.txt[.tradedoubler.com/]
Cookie/Serving... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...es.txt[.serving-sys.com/]
Cookie/Adtech Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...\cookies.txt[.adtech.de/]
Cookie/Serving... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...txt[.bs.serving-sys.com/]
Cookie/BurstNe... Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...okies.txt[.burstnet.com/]
Cookie/Apmebf Tracking Cookie
Latent
Anzeigen + Info
C:\Dokumente und Einstell...cookies.txt[.apmebf.com/]
Cookie/Atwola Tracking Cookie
Latent
Anzeigen + Info

was nun ?

#2 ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

Erstellen eines Hijackthis-Logfiles

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#3 hier die log file von combofix:

ComboFix 08-04-22.5 - G.Metzel 2008-04-25 0:05:02.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1682 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\G.Metzel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 23:50 . 2008-04-24 23:50 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-04-24 23:18 . 2008-04-24 23:19 <DIR> d-------- C:\Programme\Panda Security
2008-04-24 22:34 . 2004-08-04 00:58 33,792 --a------ C:\WINDOWS\system32\rundll32.exe
2008-04-24 22:34 . 2004-08-04 00:58 33,792 --a--c--- C:\WINDOWS\system32\dllcache\rundll32.exe
2008-04-24 22:19 . 2008-04-24 23:40 <DIR> d--h----- C:\$AVG8.VAULT$
2008-04-24 20:48 . 2008-04-24 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\kai\Anwendungsdaten\Winamp
2008-04-24 20:07 . 2008-03-05 18:43 <DIR> d--h----- C:\Dokumente und Einstellungen\kai\Vorlagen
2008-04-24 20:07 . 2008-03-06 01:43 <DIR> dr------- C:\Dokumente und Einstellungen\kai\Startmenü
2008-04-24 20:07 . 2008-04-24 21:33 <DIR> d--h----- C:\Dokumente und Einstellungen\kai\Netzwerkumgebung
2008-04-24 20:07 . 2008-04-25 00:08 <DIR> d--h----- C:\Dokumente und Einstellungen\kai\Lokale Einstellungen
2008-04-24 20:07 . 2008-03-06 01:43 <DIR> d-------- C:\Dokumente und Einstellungen\kai\Favoriten
2008-04-24 20:07 . 2008-03-06 01:43 <DIR> d--h----- C:\Dokumente und Einstellungen\kai\Druckumgebung
2008-04-24 20:07 . 2008-04-24 21:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\kai\Anwendungsdaten
2008-04-24 20:07 . 2008-04-24 22:36 <DIR> d-------- C:\Dokumente und Einstellungen\kai
2008-04-24 20:07 . 2008-04-25 00:04 1,024 --ah----- C:\Dokumente und Einstellungen\kai\ntuser.dat.LOG
2008-04-24 19:51 . 2008-04-24 22:20 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg
2008-04-24 19:51 . 2008-04-24 19:51 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-04-24 19:51 . 2008-04-24 22:22 75,272 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-04-24 19:51 . 2008-04-24 19:51 12,424 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-04-24 19:51 . 2008-04-24 22:29 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-04-24 19:50 . 2008-04-24 19:50 <DIR> d-------- C:\Programme\AVG
2008-04-24 19:50 . 2008-04-24 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-04-24 19:46 . 2001-08-17 13:28 771,581 --a--c--- C:\WINDOWS\system32\dllcache\winacisa.sys
2008-04-24 19:45 . 2001-08-17 13:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
2008-04-24 19:44 . 2001-08-18 04:54 525,568 --a--c--- C:\WINDOWS\system32\dllcache\tridxp.dll
2008-04-24 19:43 . 2001-08-18 04:54 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll
2008-04-24 19:42 . 2001-08-18 04:33 899,658 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-04-24 19:41 . 2001-08-17 14:05 351,616 --a--c--- C:\WINDOWS\system32\dllcache\ovcodek2.sys
2008-04-24 19:40 . 2004-08-04 00:58 56,832 --a--c--- C:\WINDOWS\system32\dllcache\msdvbnp.ax
2008-04-24 19:40 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2008-04-24 19:40 . 2004-08-03 23:10 49,024 --a--c--- C:\WINDOWS\system32\dllcache\mstape.sys
2008-04-24 19:40 . 2001-08-17 14:02 35,200 --a--c--- C:\WINDOWS\system32\dllcache\msgame.sys
2008-04-24 19:40 . 2004-08-03 23:00 22,016 --a--c--- C:\WINDOWS\system32\dllcache\msircomm.sys
2008-04-24 19:40 . 2001-08-17 13:52 17,280 --a--c--- C:\WINDOWS\system32\dllcache\mraid35x.sys
2008-04-24 19:40 . 2001-08-17 13:48 12,416 --a--c--- C:\WINDOWS\system32\dllcache\msriffwv.sys
2008-04-24 19:40 . 2001-08-17 13:48 6,016 --a--c--- C:\WINDOWS\system32\dllcache\msfsio.sys
2008-04-24 19:40 . 2004-08-03 22:58 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys
2008-04-24 19:40 . 2001-08-17 14:00 2,944 --a--c--- C:\WINDOWS\system32\dllcache\msmpu401.sys
2008-04-24 19:38 . 2001-08-18 04:53 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll
2008-04-24 19:37 . 2001-08-18 04:33 908,352 --a--c--- C:\WINDOWS\system32\dllcache\hcf_msft.sys
2008-04-24 19:36 . 2001-08-18 04:52 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-04-24 19:35 . 2001-08-17 12:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys
2008-04-24 19:34 . 2001-08-18 04:22 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys
2008-04-24 19:33 . 2001-08-18 04:52 382,592 --a--c--- C:\WINDOWS\system32\dllcache\atidrab.dll
2008-04-24 19:31 . 2001-08-17 13:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-04-24 19:30 . 2001-08-18 04:52 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll
2008-04-23 22:49 . 2008-04-23 22:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-23 22:49 . 2008-04-23 22:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-23 22:49 . 2008-04-23 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-23 22:49 . 2008-04-23 22:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-23 22:44 . 2008-04-23 22:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-23 22:44 . 2008-04-25 00:08 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-23 22:44 . 2008-04-23 22:57 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-23 22:44 . 2008-04-24 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-23 22:44 . 2008-04-25 00:04 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-23 22:05 . 2008-04-23 22:05 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-23 21:06 . 2008-04-23 21:06 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-04-22 20:01 . 2008-04-22 20:01 10,008 --ah----- C:\h11.sy2
2008-04-22 20:00 . 2008-04-22 20:11 <DIR> d-------- C:\Programme\Zeugnis-Generator
2008-04-22 02:40 . 2008-04-22 02:40 81,920 -r------- C:\WINDOWS\bwUnin-6.1.4.36-8876480L.exe
2008-04-22 02:39 . 2008-04-22 02:40 <DIR> d-------- C:\Programme\Logitech
2008-04-22 02:39 . 2008-04-22 02:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-04-21 15:21 . 2008-04-21 15:21 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-04-21 15:20 . 2005-08-26 12:00 140,288 --a------ C:\WINDOWS\system32\CNMLM78.DLL
2008-04-21 15:20 . 2005-08-26 12:00 8,704 --a------ C:\WINDOWS\system32\CNMVS78.DLL
2008-04-21 15:19 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-04-21 15:19 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-04-21 15:13 . 2008-04-21 15:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-04-12 01:37 . 2008-04-12 01:37 <DIR> d-------- C:\Programme\MSXML 4.0
2008-04-11 12:27 . 2008-04-20 21:00 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-04-11 12:17 . 2008-04-11 12:17 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\Nero
2008-04-11 12:16 . 2008-04-11 12:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-04-11 12:16 . 2008-04-11 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-11 12:16 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll
2008-04-11 12:16 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll
2008-04-11 12:16 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll
2008-04-11 12:16 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll
2008-04-11 12:16 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll
2008-04-10 21:44 . 2008-04-10 21:44 0 --a------ C:\WINDOWS\mngui.INI
2008-04-10 21:41 . 2008-04-10 21:41 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\Teleca
2008-04-10 21:40 . 2008-04-10 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\Sony Ericsson
2008-04-10 21:37 . 2008-04-10 21:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-04-10 21:37 . 2008-04-10 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-04-10 21:36 . 2008-04-10 21:36 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-04-10 21:36 . 2008-04-10 21:36 <DIR> d-------- C:\Programme\Sony Ericsson
2008-04-10 21:36 . 2008-04-10 21:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-04-10 21:36 . 2008-04-10 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-04-07 02:19 . 2008-04-07 02:19 <DIR> d-------- C:\Programme\Winamp Remote
2008-04-07 02:19 . 2008-04-07 02:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-04-07 02:18 . 2008-04-07 02:33 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\Winamp
2008-04-07 01:11 . 2008-04-18 12:39 22,328 --a------ C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\PnkBstrK.sys
2008-04-03 20:56 . 2008-04-03 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-04-03 17:56 . 2008-04-03 17:56 <DIR> d-------- C:\Programme\DAEMON Tools
2008-04-03 17:56 . 2008-04-03 17:56 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2008-04-03 17:52 . 2008-04-03 17:52 664,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-04-03 17:52 . 2008-04-03 17:52 96,256 --a------ C:\WINDOWS\system32\drivers\sptd7709.sys
2008-04-03 01:29 . 2007-03-21 20:33 348,160 --a------ C:\WINDOWS\system32\MSVCR71.DL1
2008-04-03 00:55 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-03 00:55 . 2007-07-01 05:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-03 00:55 . 2007-07-01 05:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-03 00:55 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-03 00:55 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-03 00:55 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-03 00:55 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-03 00:55 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-03 00:55 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-03 00:52 . 2008-04-03 00:58 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-03 00:49 . 2008-04-03 00:49 172,159 --a------ C:\Programme\freebl3.dll
2008-04-03 00:38 . 2008-04-24 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-04-03 00:37 . 2008-04-24 19:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-02 02:45 . 2008-04-02 02:45 <DIR> d-------- C:\Programme\UseNeXT
2008-04-02 02:45 . 2008-04-23 01:54 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\UseNeXT
2008-04-02 02:29 . 2008-04-03 00:50 960 --a------ C:\Programme\updates.xml
2008-04-02 02:29 . 2008-04-03 00:50 57 --a------ C:\Programme\active-update.xml
2008-04-02 02:16 . 2008-04-09 06:09 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-02 02:10 . 2008-04-03 01:03 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-04-02 02:10 . 2008-04-02 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-04-02 02:10 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-04-02 02:10 . 2008-04-02 02:12 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-04-02 02:09 . 2008-04-03 01:03 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-04-01 00:52 . 2008-04-23 21:32 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\ICQ Toolbar
2008-04-01 00:49 . 2008-04-24 22:31 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-01 00:49 . 2008-04-01 01:11 <DIR> d-------- C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\ICQ
2008-04-01 00:48 . 2008-04-01 01:11 <DIR> d-------- C:\Programme\ICQ6
2008-04-01 00:40 . 2008-04-03 00:50 <DIR> d-------- C:\Programme\updates

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 21:18 7,106 ----a-w C:\Programme\install.log
2008-04-24 21:18 0 ----a-w C:\Programme\.autoreg
2008-04-24 16:38 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-24 16:38 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-04-23 20:57 --------- d-----w C:\Programme\components
2008-04-23 19:47 --------- d-----w C:\Programme\RegCleaner
2008-04-22 00:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-22 00:38 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-18 12:58 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-04-02 22:50 --------- d-----w C:\Programme\uninstall
2008-04-02 22:50 --------- d-----w C:\Programme\searchplugins
2008-04-02 22:50 --------- d-----w C:\Programme\res
2008-04-02 22:50 --------- d-----w C:\Programme\plugins
2008-04-02 22:50 --------- d-----w C:\Programme\greprefs
2008-04-02 22:50 --------- d-----w C:\Programme\chrome
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 01:10 --------- d-----w C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\DivX
2008-03-18 13:16 2,983 ----a-w C:\Programme\install_wizard.log
2008-03-18 13:16 1,442 ----a-w C:\Programme\install_status.log
2008-03-18 13:16 --------- d-----w C:\Programme\defaults
2008-03-18 13:15 --------- d-----w C:\Programme\extensions
2008-03-13 12:56 --------- d-----w C:\Programme\LogonScreenChanger
2008-03-11 00:19 --------- d-----w C:\Programme\VideoLAN
2008-03-11 00:19 --------- d-----w C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\vlc
2008-03-06 19:26 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-06 19:26 --------- d--h--r C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\SecuROM
2008-03-06 19:23 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-03-05 21:17 --------- d-----w C:\Programme\DivX
2008-03-05 21:16 --------- d-----w C:\Programme\Windows Media Connect 2
2008-03-05 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-05 19:42 --------- d-----w C:\Programme\Microsoft Works
2008-03-05 19:41 --------- d-----w C:\Programme\MSBuild
2008-03-05 17:39 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-03-05 17:39 --------- d-----w C:\Programme\Realtek
2008-03-05 17:39 --------- d-----w C:\Programme\DIFX
2008-03-05 17:38 --------- d-----w C:\Dokumente und Einstellungen\G.Metzel\Anwendungsdaten\InstallShield
2008-03-05 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-03-05 16:48 --------- d-----w C:\Programme\microsoft frontpage
2008-03-05 16:45 --------- d-----w C:\Programme\Online-Dienste
2008-03-05 16:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}]
C:\WINDOWS\system32\IEBHO29.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2008-04-22 02:40 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 12:08 16342528 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 18:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-04-29 05:36 208896]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 18:43 81920]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]
"RegistryMechanic"="" []
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-04-24 22:22 1177368]
"WinampAgent"="F:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Driver32"="Overwritten when removing W32/Sircam-A" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"D:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Programme\\Sierra\\FEAR\\FEAR.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"F:\\Activision\\Call of Duty 4 - Modern\\iw3mp.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\AVG\\AVG8\\avgnsx.exe"=

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-04-24 19:51]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-04-24 19:51]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-04-24 22:21]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-04-24 22:22]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 00:08:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-25 0:11:07
ComboFix-quarantined-files.txt 2008-04-24 22:11:02

5 Verzeichnis(se), 5,702,569,984 Bytes frei
9 Verzeichnis(se), 6,167,314,432 Bytes frei

259 --- E O F --- 2008-04-11 23:43:04


und die logfile von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19:47, on 25.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/divx6/new/de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO29.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [Driver32] Overwritten when removing W32/Sircam-A, please delete.
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 6319 bytes


danke für die mühe im voraus!!!

#4 Hallo,

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\h11.sy2
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\dllcache\rundll32.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

---------------------------------------------------------

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO29.dll (file missing)

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\RunServices: [Driver32] Overwritten when removing W32/Sircam-A, please delete.

3.
wende sdfix im Normalmodus an ~
http://virus-protect.org/artikel/tools/sdfix.html

reinschreiben: 3

3 : wird Sophos geladen - schreibe 6 - lasse scannen + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ich weiss gar nicht was ich sagen soll also es funktioniert alles wieder tadellos!
vielen dank!!!!!!!

#6 Freut mich, dass bei dir wieder alles in Ordnung ist. Ich hoffe ihr könnt auch mir helfen. Ich habe ein ähnliches Problem:

Gestern bekam ich einen Virusfund von Avira nachdem ich meinen PC hochgefahren hab. Jedoch nicht nur einen sonder ich wurde "zugespamt" von Avira. So konnte ich nichts anderes mehr machen, da bei jedem klick neue Funde auftauchten. Deswegen musste ich den Guard als Notlösung deaktivieren.

Der Trojaner ist folgender:
TR/Agent.5120106.A

Betroffende Dateien waren immer ctfmon.exe und ftp33.dll oder ftp33dll.exe oder auch Spools. Zuerst habe ich versucht Avira die Sache machen zu lassen ohne Erfolg. Dann habe ich mich ein wenig schlau gemacht und versucht mit dem CCleaner die Prozesse der beiden Dateien zu blocken, was auch nicht half. Schließlich habe ich die sowieso unnütze Datei ctfmon per ctfmonremover entfernt und erneut versucht ein paar Prozesse ( dies mal per unlocker zu blocken ).
Bis jetzt hatte ich keinen Erfolg ich hoffe ihr könnt mir helfen.

<<<<<<<<<<<<<<<<Hijackthis>>>>>>>>>>>>>>>>>>

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:53:41, on 27.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\Wohlfarth\cftmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Wohlfarth\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: USB Tastatur Kontrollfeld.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {8DC086C2-5C5E-4B71-8413-18139AC3D9CF} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1206376555
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7180 bytes



<<<<<<<<<<<<<<ComboFix>>>>>>>>>>>>>>>>>>

ComboFix 08-04-26.2 - ****** 2008-04-27 9:59:30.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.228 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\******\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\LocalService\cftmon.exe
C:\Dokumente und Einstellungen\Wohlfarth\cftmon.exe
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000013_.tmp.dll
C:\WINDOWS\system32\drivers\spools.exe

----- BITS: Possible infected sites -----

hhdsoftware.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_Schedule
-------\Service_Schedule


((((((((((((((((((((((( Dateien erstellt von 2008-03-27 bis 2008-04-27 ))))))))))))))))))))))))))))))
.

2008-04-27 09:40 . 2008-04-27 09:40 <DIR> d-------- C:\Programme\Trend Micro
2008-04-26 23:50 . 2008-04-27 09:25 5,120 --a------ C:\WINDOWS\system32\ftp33.dll
2008-04-26 17:19 . 2004-08-04 01:57 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.backup
2008-04-26 15:12 . 2008-04-26 15:12 <DIR> d-------- C:\Programme\HHD Software
2008-04-26 14:46 . 2008-04-26 14:46 <DIR> d-------- C:\Programme\CCleaner
2008-04-21 20:25 . 2008-04-21 20:33 <DIR> d-------- C:\Programme\KaloMa
2008-04-10 20:24 . 2008-04-25 19:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-10 20:24 . 2008-04-10 20:24 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-06 00:26 . 2008-04-11 13:39 <DIR> d-------- C:\Programme\Avanquest update
2008-04-06 00:26 . 2008-04-06 00:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-04-06 00:21 . 2008-04-06 00:21 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Sony
2008-04-06 00:21 . 2008-04-06 00:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-04-06 00:15 . 2008-04-06 00:15 <DIR> d-------- C:\Programme\QuickTime
2008-04-06 00:14 . 2008-04-06 00:14 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-06 00:14 . 2008-04-06 00:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-06 00:00 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-04-06 00:00 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-04-05 23:59 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-04-05 23:59 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-04-04 23:31 . 2008-04-04 23:31 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-03 13:47 . 2005-02-11 11:24 6,144 -ra------ C:\WINDOWS\system32\drivers\k750cm.sys
2008-04-03 13:46 . 2005-02-11 11:19 5,744 -ra------ C:\WINDOWS\system32\drivers\k750wh.sys
2008-04-03 13:43 . 2008-04-03 13:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-04-03 13:42 . 2008-04-03 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2008-04-03 13:42 . 2008-04-03 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-04-03 13:40 . 2008-04-03 13:40 <DIR> d-------- C:\WINDOWS\Downloaded Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-17 12:12 --------- d-----w C:\Dokumente und Einstellungen\Wohlfarth\Anwendungsdaten\Xfire
2008-04-17 11:42 --------- d-s---w C:\Programme\Xfire
2008-04-17 11:36 --------- d-----w C:\Programme\ICQ6
2008-04-16 13:22 --------- d-----w C:\Programme\Google
2008-04-15 14:29 --------- d-----w C:\Programme\Yahoo!
2008-04-15 14:28 --------- d-----w C:\Programme\ICQToolbar
2008-04-15 13:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-12 20:09 --------- d-----w C:\Dokumente und Einstellungen\Wohlfarth\Anwendungsdaten\teamspeak2
2008-04-05 22:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-05 22:26 --------- d-----w C:\Programme\Sony Ericsson
2008-03-10 17:54 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ
2008-03-08 12:07 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\InstallShield
2008-03-02 16:04 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\Ahead
2008-01-26 13:29 57,128 ----a-w C:\Dokumente und Einstellungen\Wohlfarth\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-08-14 18:13 40,960 ----a-w C:\Programme\Uninstall_PCM.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 15:29 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2003-06-27 15:39 506368 C:\WINDOWS\mHotkey.exe]
"Cmaudio"="cmicnfg.cpl" [2003-09-12 20:07 2244608 C:\WINDOWS\CMICNFG.CPL]
"PRISMSTA.EXE"="PRISMSTA.exe" [2003-08-04 15:54 215552 C:\WINDOWS\system32\PRISMSTA.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-10-22 12:22 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 19:53 262401]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 12:24 343552]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.scg726"= scg726.acm
"msacm.alf2cd"= alf2cd.acm
"vidc.dvsd"= mcdvd_32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-03-14 20:05 257088 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
-ra------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--------- 2003-06-24 16:23 61440 C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"C:\\Programme\\Xfire\\Xfire.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Dokumente und Einstellungen\\******\\Eigene Dateien\\Neuer Ordner\\Hamachi\\hamachi.exe"=
"C:\\Dokumente und Einstellungen\\******\\Eigene Dateien\\Neuer Ordner\\Counter Strike 1.6\\hl.exe"=
"C:\\Dokumente und Einstellungen\\******\\Eigene Dateien\\Neuer Ordner\\counter source an Nick's PC (Nick)\\hl2.exe"=
"C:\\Dokumente und Einstellungen\\******\\Eigene Dateien\\WoW-2.0.0-deDE-Installer-downloader.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"C:\\Unreal Anthology\\UT2004\\System\\UT2004.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 08:47]
S2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe []
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe []
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe []
S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2003-08-07 16:36]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b87be746-8869-11dc-89a0-000c7677c3b9}]
\Shell\AutoRun\command - H:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-23 17:20:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 10:05:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-27 10:08:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-27 08:08:46

11 Verzeichnis(se), 19,279,773,696 Bytes frei
13 Verzeichnis(se), 19,397,263,360 Bytes frei

177 --- E O F --- 2007-10-31 10:33:08








Gruß Jubson

#7 Hallo, jubson2

da gibt es so einiges zu löschen ..

««
mal sehen, welcher Virenscanner das erkennt:

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ftp33.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren

---------------------------------------

««
scanne mit sdfix ..muss im abgesicherten modus sein, poste hier den report nach neustart in den normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 «

C:\WINDOWS\system32\ftp33.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 TR/Agent.5120.106.A
Authentium 4.93.8 2008.04.26 -
Avast 4.8.1169.0 2008.04.25 Win32:Small-KBA
AVG 7.5.0.516 2008.04.25 Downloader.Zlob.12.S
BitDefender 7.2 2008.04.26 Trojan.Agent.Small.SVV
CAT-QuickHeal 9.50 2008.04.26 TrojanDownloader.Small.tra
ClamAV 0.92.1 2008.04.26 Trojan.Downloader-28937
DrWeb 4.44.0.09170 2008.04.26 Trojan.DownLoader.56634
eSafe 7.0.15.0 2008.04.21 suspicious Trojan/Worm
eTrust-Vet 31.3.5736 2008.04.26 Win32/Ruternam.F
Ewido 4.0 2008.04.26 -
F-Prot 4.4.2.54 2008.04.25 W32/Downldr2.BOAM
F-Secure 6.70.13260.0 2008.04.26 Trojan-Downloader.Win32.Small.tra
FileAdvisor 1 2008.04.26 High threat detected
Fortinet 3.14.0.0 2008.04.26 -
Ikarus T3.1.1.26.0 2008.04.26 Trojan-Downloader.Win32.Small.tra
Kaspersky 7.0.0.125 2008.04.26 Trojan-Downloader.Win32.Small.tra
McAfee 5282 2008.04.25 Spam-Mailbot
Microsoft 1.3408 2008.04.22 -
NOD32v2 3056 2008.04.26 Win32/PSW.Agent.NHG
Norman 5.80.02 2008.04.25 W32/DLoader.GMPN
Panda 9.0.0.4 2008.04.26 Trj/Downloader.MDW
Prevx1 V2 2008.04.26 Trojan.Downloader
Rising 20.41.52.00 2008.04.26 Trojan.Win32.Undef.ffx
Sophos 4.28.0 2008.04.26 Troj/Drop-O
Sunbelt 3.0.1056.0 2008.04.17 Trojan.Agent.5120.106.A
Symantec 10 2008.04.26 Trojan Horse
TheHacker 6.2.92.293 2008.04.26 Trojan/Downloader.Small.tra
VBA32 3.12.6.5 2008.04.26 Trojan-Downloader.Win32.Small.tra
VirusBuster 4.3.26:9 2008.04.26 -
Webwasher-Gateway 6.6.2 2008.04.26 Trojan.Agent.5120.106.A
weitere Informationen
File size: 5120 bytes
MD5...: f00d56b8179157d274013a713d6f4944
SHA1..: b437df0432997205b434e9d2d9d47aa351091283
SHA256: 4c2185520a7439b33c8fab27ec54c79b6ae0cd9f179296be80fd4877b05ec096
SHA512: 95d365cee7a6958da42e272c13ba13e470502de90da736a5dcff7fdb59df8720
40dbec087be7262b10fb3d59676ebd1366a5c1f17da9bc7184b722c912d6e76a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10109b90
timedatestamp.....: 0x47e8d7f8 (Tue Mar 25 10:46:16 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x108000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x109000 0x1000 0xe00 7.42 90bae943aa3f921d5f59718c21981095
UPX2 0x10a000 0x1000 0x200 2.35 1031f33322de2fc8b47c70b6999a4210

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect
> MSVCRT.dll: free
> USER32.dll: CallNextHookEx
> WS2_32.dll: -

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ABF1895700C8E8271435005ADD0F9D00C98CD1B7
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=f00d56b8179157d274013a713d6f4944
packers (Kaspersky): PE_Patch.UPX, UPX
packers (Avast): UPX


Danke schon einmal ... Ich mach mich mal schnell an den sdfix ran

Gruß

EDIT:

So weiter gehts:


SDFix: Version 1.175
Run by ****** on 27.04.2008 at 10:49

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\******\Eigene Dateien\ICQ\297581573\ReceivedFiles\ChilliChecka92_193398827\Fotomanager.exe.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 10:56:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea1341c1e]
"0012ee7393a8"=hex:be,85,2f,e7,85,1d,9d,2c,c4,49,c6,93,ad,c2,6f,d7
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000ea1341c1e]
"0012ee7393a8"=hex:be,85,2f,e7,85,1d,9d,2c,c4,49,c6,93,ad,c2,6f,d7

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"="C:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe:*isabled:BattlefrontII"
"C:\\Programme\\Xfire\\Xfire.exe"="C:\\Programme\\Xfire\\Xfire.exe:*isabled:Xfire"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"="C:\\Programme\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*isabled:Internet Explorer"
"C:\\Programme\\Hamachi\\hamachi.exe"="C:\\Programme\\Hamachi\\hamachi.exe:*isabled:Hamachi Client"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*isabled:BearShare"
"C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\Neuer Ordner\\Hamachi\\hamachi.exe"="C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\Neuer Ordner\\Hamachi\\hamachi.exe:*isabled:Hamachi Client"
"C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\Neuer Ordner\\Counter Strike 1.6\\hl.exe"="C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\Neuer Ordner\\Counter Strike 1.6\\hl.exe:*isabled:Half-Life Launcher"
"C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\Neuer Ordner\\counter source an Nick's PC (Nick)\\hl2.exe"="C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\Neuer Ordner\\counter source an Nick's PC (Nick)\\hl2.exe:*isabled:hl2"
"C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\WoW-2.0.0-deDE-Installer-downloader.exe"="C:\\Dokumente und Einstellungen\\Wohlfarth\\Eigene Dateien\\WoW-2.0.0-deDE-Installer-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"="C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.0"
"C:\\Unreal Anthology\\UT2004\\System\\UT2004.exe"="C:\\Unreal Anthology\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 4 Aug 2004 1,667,584 ...H. --- "C:\Programme\Messenger\msmsgs.exe"
Wed 31 Oct 2007 108 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Wed 31 Oct 2007 1,036,048 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\43fd9b82d03d0d9baa76c44d8b385086\BIT1D.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\08a7f9c65397257d6349b531b2557183\download\BIT52.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\13c98f486d453d75ea2d184b9024dcfe\download\BIT55.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\19e366c6385c7d29b988beffb6a4e1fc\download\BIT54.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2283f5f88863f8e49cb15850995763db\download\BIT56.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\27cf8d1b7329ec39002bc1869818e7ec\download\BIT51.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\514e3995b744d192301873f34b98a2c6\download\BIT53.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\628f4a26345979df5460fcaafab88492\download\BIT4B.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6d6f914c1192462862c82119efa5ca09\download\BIT4E.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9f52acdf769d28aafa6d4f15d1de5ba0\download\BIT4F.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bb06326e82aba6b4f66b281c221170c5\download\BIT4C.tmp"
Wed 31 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c3396d6700d3ec4cf8ad278d2701cb6d\download\BIT50.tmp"
Sun 22 Jul 2007 6,153,597 A..H. --- "C:\Dokumente und Einstellungen\Wohlfarth\Desktop\Sony Ericsson k750i\Designs\Neuer Ordner (2)\VikkiBLows1.zip"
Sun 22 Jul 2007 6,526,013 A..H. --- "C:\Dokumente und Einstellungen\Wohlfarth\Desktop\Sony Ericsson k750i\Designs\Neuer Ordner (2)\VikkiBlows2.zip"
Sun 22 Jul 2007 6,153,597 A..H. --- "C:\Dokumente und Einstellungen\Wohlfarth\Desktop\Sony Ericsson k750i\Designs\neu\Neuer Ordner\VikkiBLows1.zip"
Sun 22 Jul 2007 6,526,013 A..H. --- "C:\Dokumente und Einstellungen\Wohlfarth\Desktop\Sony Ericsson k750i\Designs\neu\Neuer Ordner\VikkiBlows2.zip"

Finished!

Der eine Fund aus dem ICQ Ordner ist nur ein SCherzprogramm, das alle Laufwerke öffnet

Gruß

#9 jubson2

Avenger
http://virus-protect.org/artikel/tools/avenger.html
-setze nur ein Häkchen in: "Automatically disable any rootkits found"
-Das Häkchen "Scan for Rootkits" sollte angehakt sein.
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\ftp33.dll

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

----------

«
poste nach neustart den report vom Avenger, der erscheint

--------

«
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

«
scanne mit dr.web im abgesicherten Modus + berichte
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 So hab alles gemacht:
Das sagt der Avenger:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun Apr 27 14:07:04 2008

14:07:04: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ftp33.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und DrWeb hat 11 Viren/Trojaner gefunden und gelöscht, danach hab ich Combofix deinstalliert ( hat das irgendeinen besonderen Grund? ).

Gruß
Jubson

#11 «
Combofix hat die viren in quarantäne, deshalb das Entfernen.
Du solltest auch die Quarantäne vom Avenger löschen [C:\avenger\backup.zip] + Papierkorb leeren.. sicher ist sicher

«
kannst du mal das log vom Dr.web hier posten ?
(einfach in Start/Ausführen eingeben und Enter drücken)

%userprofile%\doctorweb\cureit.log
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Ich poste mal nicht den kompletten Log, das dürfte alles für dich interessantens sein, falls nicht bitte melden.

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 232023
Infizierte Objekte gefunden: 4
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 2
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 2
Hacktool-Programm gefunden: 2
Desinfizierte Objekte: 0
Gelöschte Objekte: 4
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 15 Kb/s
Dauer:: 02:54:41
-----------------------------------------------------------------------------

C:\Programme\BearShare\RunMSC.dll - nicht desinfizierbar - gelöscht
C:\RECYCLER\S-1-5-21-116274913-2328181718-2296833521-1006\Dc1\SDFix\apps\Process.exe - nicht desinfizierbar - gelöscht
C:\SDFix\apps\Process.exe - nicht desinfizierbar - gelöscht
C:\System Volume Information\_restore{83B60A14-D1C0-4BF0-9D1A-7BF12E514B34}\RP136\A0052583.EXE - nicht desinfizierbar - gelöscht
C:\System Volume Information\_restore{83B60A14-D1C0-4BF0-9D1A-7BF12E514B34}\RP136\A0052586.bat - nicht desinfizierbar - gelöscht
C:\System Volume Information\_restore{83B60A14-D1C0-4BF0-9D1A-7BF12E514B34}\RP136\A0052593.bat - nicht desinfizierbar - gelöscht
C:\WINDOWS\PSEXESVC.EXE - nicht desinfizierbar - gelöscht

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 232531
Infizierte Objekte gefunden: 4
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 2
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 2
Hacktool-Programm gefunden: 2
Desinfizierte Objekte: 0
Gelöschte Objekte: 11
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 29 Kb/s
Dauer:: 02:55:42
=============================================================================


Zugegeben finde ich kein Avenger Backup ...

Gruß

#13 ««
http://virus-protect.org/artikel/tools/otmoveIt.html

öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\system32\ftp33.dll
C:dokumente und einstellungen\kai\ftp33.dll

Klicke auf den Roten MoveIt!

kopiere ab, was rechts im Fenster erscheint

----------------------------------------------------

«
gib ein in (Windows) Suche:



da findest du es

----------

besteht das Problem, dass du keine exe öffnen kannst..immer noch ?

---------
__________
MfG Sabina

rund um die PC-Sicherheit

#14 File/Folder C:\WINDOWS\system32\ftp33.dll not found.
File/Folder C:\dokumente und einstellungen\kai\ftp33.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04282008_150148


Zu dem Problem: Nein aber dieses Bestand auch niemals. Ich konnte nur nichts mehr unternehmen, da mein AntivirGuard mich "zugespamt" hat. Nachdem Abstellen konnte ich aber normal auf alle Programme zugreifen.

#15 Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\h11.sy2

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit