mehrere Viren ?

#0
04.05.2008, 15:56
...neu hier

Beiträge: 4
#1 seit kuzem sind bei mir mehrere viren aufgetaucht ein paar konnte ich mit antivirus programmen entfernen aber nicht alle. es kommt oft ein roter kreis mit weißen krauz der blickt. und dann auch noch regelmäßig meldungen über viren. worm.win32.netbooster und worm .win32.netbooster2

hier mein log (hijackthis)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51:52, on 04.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe
C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\Programme\Gaming\GamingCenter\Panel.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Logitech\QuickCam10\COCIManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\UltimateZip\uzqkst.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by MICHAEL
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: DVA First - {8377285E-F9CE-4DEB-936C-04CAF05F0512} - C:\WINDOWS\qvlbodmnlks.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)
O3 - Toolbar: mkrndofl - {503AA2B1-C257-44D3-82D9-43FD349561A6} - C:\WINDOWS\mkrndofl.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LogitechSetup] D:\Setup\Setup.exe /start /restart /l:deu
O4 - HKLM\..\Run: [Acer Mouse] C:\Programme\Gaming\GamingCenter\Panel.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NI.UGDC_0001_N127M1004] "c:\dokumente und einstellungen\michi\anwendungsdaten\installer_en[1].exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [AntiSpywareShield] C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: tdomgafw - {3E7EEB9A-64B7-4937-ADB2-D14556E91502} - C:\WINDOWS\tdomgafw.dll (file missing)
O21 - SSODL: wetkadmr - {FD36F626-8F24-40C5-91FB-821547DF212C} - C:\WINDOWS\wetkadmr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8886 bytes
Seitenanfang Seitenende
04.05.2008, 16:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Keit

1.
wende cleaner an + lösche alle temp-Dateien
http://www.ccleaner.de/?protecus.de

2.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Programme\NetProject
C:\Program Files\AntiSpywareShield
C:\WINDOWS\mkrndofl.dll
C:\WINDOWS\wetkadmr.dll
C:\WINDOWS\qvlbodmnlks.dll
c:\dokumente und einstellungen\michi\anwendungsdaten\installer_en[1].exe
Klicke auf den Roten MoveIt!

------------------------------

3.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by MICHAEL

O2 - BHO: DVA First - {8377285E-F9CE-4DEB-936C-04CAF05F0512} - C:\WINDOWS\qvlbodmnlks.dll

O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll (file missing)

O3 - Toolbar: mkrndofl - {503AA2B1-C257-44D3-82D9-43FD349561A6} - C:\WINDOWS\mkrndofl.dll

O4 - HKLM\..\Run: [NI.UGDC_0001_N127M1004] "c:\dokumente und einstellungen\michi\anwendungsdaten\installer_en[1].exe"

O4 - HKCU\..\Run: [AntiSpywareShield] C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe

O21 - SSODL: tdomgafw - {3E7EEB9A-64B7-4937-ADB2-D14556E91502} - C:\WINDOWS\tdomgafw.dll (file missing)

O21 - SSODL: wetkadmr - {FD36F626-8F24-40C5-91FB-821547DF212C} - C:\WINDOWS\wetkadmr.dll
PC neustarten

4.
wende smitfraudfix an (Option 2 ) - poste hier den report
http://virus-protect.org/artikel/tools/smitfrautfix.html

5.
wend rvaxo an + poste hier das log, was erscheint nach Anwendung
http://virus-protect.org/artikel/tools/rvaxo.html

6.
wende combofix an - klicke die Warnmeldung weg - poste hier das komplette Log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.05.2008, 17:09
...neu hier

Themenstarter

Beiträge: 4
#3 1. ausgeführt

2.ausgeführt

3. ausgeführt

4.

SmitFraudFix v2.319

Scan done at 17:08:01,70, 04.05.2008
Run from C:\Dokumente und Einstellungen\Michi\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{445F893F-ECE4-450C-8243-50921017B825}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{445F893F-ECE4-450C-8243-50921017B825}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{445F893F-ECE4-450C-8243-50921017B825}: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



5.

---RVAXO.exe Updated: 2008-05-04---first run---
Uninstallers:

Files found:
C:\WINDOWS\rs.txt

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

6.

ComboFix 08-05-01.3 - Michi 2008-05-04 17:10:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2786 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Michi\Startmenü\Programme\AntiSpywareShield
C:\Dokumente und Einstellungen\Michi\Startmenü\Programme\AntiSpywareShield\AntiSpywareShield.lnk
C:\Dokumente und Einstellungen\Michi\Startmenü\Programme\AntiSpywareShield\Uninstall.lnk

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-04 bis 2008-05-04 ))))))))))))))))))))))))))))))
.

2008-05-04 17:05 . 2008-05-04 17:05 <DIR> d-------- C:\RVAXO
2008-05-04 17:03 . 2008-05-04 00:41 817,514 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-04 17:03 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-04 16:58 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-04 16:58 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-04 16:58 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-04 16:58 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-04 16:58 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-04 16:58 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-04 16:58 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-04 16:58 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-04 16:58 . 2008-05-04 17:08 3,680 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-04 16:47 . 2008-05-04 16:47 <DIR> d-------- C:\_OTMoveIt
2008-05-04 15:57 . 2008-05-04 15:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-05-04 15:49 . 2008-05-04 15:49 <DIR> d-------- C:\Programme\Yahoo!
2008-05-04 15:49 . 2008-05-04 15:49 <DIR> d-------- C:\Programme\CCleaner
2008-05-04 14:55 . 2008-05-04 14:55 <DIR> d-------- C:\Programme\Trend Micro
2008-05-03 18:00 . 2008-05-03 18:00 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-03 17:52 . 2008-05-04 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\TmpRecentIcons
2008-05-03 15:18 . 2008-05-03 15:18 718,616 --a------ C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\installer_en[1].exe
2008-05-03 13:55 . 2008-05-03 04:40 102,400 --a------ C:\WINDOWS\knxsrgte.exe
2008-05-03 13:55 . 2008-05-03 04:39 98,304 --a------ C:\WINDOWS\svorbmke.exe
2008-05-02 16:00 . 2008-05-02 16:56 0 --a------ C:\WINDOWS\system32\magicpvt.dat
2008-05-01 16:43 . 2008-05-01 16:45 <DIR> d-------- C:\GRAPHPAP
2008-04-30 15:56 . 2008-04-30 15:56 <DIR> d--h----- C:\Programme\Zero G Registry
2008-04-30 15:56 . 2008-05-01 17:29 <DIR> d-------- C:\Programme\GeoGebra
2008-04-30 15:56 . 2008-04-30 15:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\InstallAnywhere
2008-04-29 19:08 . 2008-04-29 19:14 <DIR> d-------- C:\DVDVideoSoft
2008-04-29 19:06 . 2008-04-29 19:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-29 19:06 . 2008-04-29 19:24 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-04-29 19:06 . 2002-01-05 14:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-04-29 15:17 . 2008-04-29 15:17 <DIR> d-------- C:\Programme\DATA BECKER
2008-04-29 15:17 . 2008-04-29 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\WINDOWS
2008-04-29 15:17 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-04-29 15:17 . 1999-05-14 13:25 66,664 --a------ C:\WINDOWS\system32\CAN.TTF
2008-04-25 16:56 . 2008-04-25 17:00 <DIR> d-------- C:\Programme\Die Gilde 2 - Gold Edition
2008-04-25 16:52 . 2008-04-12 16:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Vorlagen
2008-04-25 16:52 . 2008-04-12 17:16 <DIR> dr------- C:\Dokumente und Einstellungen\Done\Startmenü
2008-04-25 16:52 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Netzwerkumgebung
2008-04-25 16:52 . 2008-05-04 17:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Lokale Einstellungen
2008-04-25 16:52 . 2008-04-25 16:52 <DIR> dr------- C:\Dokumente und Einstellungen\Done\Favoriten
2008-04-25 16:52 . 2008-04-25 16:52 <DIR> dr------- C:\Dokumente und Einstellungen\Done\Eigene Dateien
2008-04-25 16:52 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Druckumgebung
2008-04-25 16:52 . 2008-04-25 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Done\Anwendungsdaten\ATI
2008-04-25 16:52 . 2008-04-25 17:39 <DIR> dr-h----- C:\Dokumente und Einstellungen\Done\Anwendungsdaten
2008-04-25 16:52 . 2008-04-25 16:53 <DIR> d-------- C:\Dokumente und Einstellungen\Done
2008-04-25 16:52 . 2008-05-04 17:10 1,024 --ah----- C:\Dokumente und Einstellungen\Done\ntuser.dat.LOG
2008-04-24 19:18 . 2008-04-24 19:18 378 --a------ C:\WINDOWS\cncscore.ini
2008-04-16 13:47 . 2008-05-04 17:06 <DIR> d-------- C:\Programme\Steam
2008-04-15 21:10 . 2008-04-15 21:10 <DIR> d-------- C:\Programme\Analog Devices
2008-04-15 21:10 . 2001-09-19 06:47 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2008-04-15 21:10 . 2006-03-17 11:18 392,960 -ra------ C:\WINDOWS\system32\drivers\senfilt.sys
2008-04-15 21:10 . 2007-01-16 03:09 293,888 -ra------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-04-15 21:10 . 2006-08-07 00:57 93,952 -ra------ C:\WINDOWS\system32\drivers\aeaudio.sys
2008-04-15 21:10 . 2003-08-19 12:36 65,536 --a--c--- C:\WINDOWS\system32\dllcache\a3d.dll
2008-04-15 21:10 . 2003-08-19 12:36 65,536 -ra------ C:\WINDOWS\system32\a3d.dll
2008-04-15 21:10 . 2006-06-30 09:00 28,160 -ra------ C:\WINDOWS\system32\PostProc.dll
2008-04-14 16:50 . 2008-04-14 16:51 <DIR> d-------- C:\Temp
2008-04-14 16:25 . 2008-05-01 14:08 4,228 -rahs---- C:\HEPPEL.vbs
2008-04-13 19:29 . 2008-04-13 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\COWON
2008-04-13 17:37 . 2008-04-13 19:29 <DIR> d-------- C:\Programme\JetAudio
2008-04-13 17:37 . 2008-04-13 17:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\COWON
2008-04-13 14:59 . 2008-04-13 14:59 <DIR> dr------- C:\WINDOWS\AsDmiHtm
2008-04-13 14:54 . 2008-04-15 18:34 35,227 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-04-13 13:10 . 2008-04-13 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Ahead
2008-04-13 12:04 . 2008-04-13 12:04 <DIR> d-------- C:\Programme\Gaming
2008-04-13 12:04 . 2005-07-30 16:20 2,576,384 --a------ C:\WINDOWS\system32\XWheel.dll
2008-04-13 12:04 . 2005-07-30 16:18 970,752 --a------ C:\WINDOWS\system32\MousePage.dll
2008-04-13 12:04 . 2005-07-30 16:20 593,920 --a------ C:\WINDOWS\system32\XIndicator.dll
2008-04-13 12:04 . 2005-07-30 16:17 221,184 --a------ C:\WINDOWS\system32\Hook.dll
2008-04-13 12:04 . 2005-07-30 16:14 25,088 --a------ C:\WINDOWS\system32\drivers\GMFilter.sys
2008-04-13 11:21 . 2008-04-13 11:21 <DIR> d-------- C:\Programme\Logitech
2008-04-13 11:21 . 2008-04-13 11:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-04-13 11:21 . 2008-04-13 11:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-13 11:20 . 2008-04-13 11:20 <DIR> d-------- C:\Programme\VideoLAN
2008-04-13 11:20 . 2008-04-13 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\vlc
2008-04-13 10:45 . 2008-04-13 10:47 <DIR> d-------- C:\Programme\Google
2008-04-13 10:45 . 2008-05-04 12:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-13 10:43 . 2008-04-13 10:43 <DIR> d-------- C:\Programme\Avira
2008-04-13 10:43 . 2008-04-13 10:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-13 10:36 . 2008-05-04 15:29 4,228 -rahs---- C:\MICHAEL.vbs
2008-04-13 09:16 . 2008-04-13 09:16 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\CyberLink
2008-04-13 09:16 . 2008-04-13 09:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-04-13 08:55 . 2008-05-04 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\skypePM
2008-04-13 08:55 . 2008-04-13 08:55 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-04-13 08:54 . 2008-04-13 08:54 <DIR> d-------- C:\Programme\Skype
2008-04-13 08:54 . 2008-04-13 08:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-04-13 08:54 . 2008-05-04 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Skype
2008-04-13 08:53 . 2008-04-13 08:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-04-13 08:49 . 2008-04-13 15:10 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\ICQ
2008-04-13 08:48 . 2008-04-17 06:24 <DIR> d-------- C:\Programme\ICQ6
2008-04-13 08:48 . 2008-04-13 08:48 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\InstallShield
2008-04-13 08:36 . 2008-04-13 08:36 <DIR> d-------- C:\Programme\Opera
2008-04-13 08:34 . 2006-02-28 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-04-12 17:54 . 2008-04-12 17:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-04-12 17:47 . 2007-10-17 03:33 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-04-12 17:46 . 2008-04-12 17:57 <DIR> d-------- C:\Programme\ATI Technologies
2008-04-12 17:41 . 2008-04-12 17:41 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-04-12 17:41 . 2008-04-12 17:44 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-04-12 17:40 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-04-12 17:40 . 2006-12-08 12:02 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2008-04-12 17:39 . 2008-04-12 17:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-12 17:30 . 2008-04-12 17:30 <DIR> d-------- C:\Programme\THQ
2008-04-12 17:19 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-04-12 17:18 . 2004-08-04 01:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-04-12 17:18 . 2004-08-04 01:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-04-12 17:17 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-04-12 17:17 . 2004-08-04 00:57 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2008-04-12 17:17 . 2001-08-17 14:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-04-12 17:16 . 2008-04-12 16:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-04-12 17:16 . 2008-05-04 12:45 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-04-12 17:16 . 2008-04-12 17:30 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-04-12 17:16 . 2008-05-04 15:57 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-04-12 17:15 . 2008-04-12 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-04-12 17:15 . 2008-04-12 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-04-12 17:15 . 2008-04-25 16:52 <DIR> d-------- C:\Dokumente und Einstellungen
2008-04-12 17:01 . 2008-05-01 16:52 <DIR> d--h----- C:\Programme\InstallShield Installation Information

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-04 15:06 --------- d-----w C:\Programme\lg_fwupdate
2008-05-04 11:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-13 06:57 --------- d-----w C:\Programme\Microsoft Works
2008-04-12 16:48 --------- d-----w C:\Programme\Java
2008-04-12 16:47 --------- d-----w C:\Programme\UltimateZip
2008-04-12 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-04-12 16:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-04-12 16:41 --------- d-----w C:\Programme\Nero
2008-04-12 16:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-12 16:05 --------- d-----w C:\Programme\CyberLink
2008-04-12 16:00 --------- d-----w C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\ATI
2008-04-12 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-12 15:47 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-12 14:59 --------- d-----w C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\TMP
2008-04-12 14:48 --------- d-----w C:\Programme\Intel
2008-04-12 14:41 --------- d-----w C:\Programme\Microsoft.NET
2008-04-12 14:26 --------- d-----w C:\Programme\microsoft frontpage
2008-04-12 14:25 --------- d-----w C:\Programme\Online-Dienste
2008-04-12 14:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024]
"Steam"="c:\programme\steam\steam.exe" [2008-04-16 13:48 1271032]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-04-27 19:25 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ai Nap"="C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe" [2007-09-06 11:19 1426432]
"CPU Power Monitor"="C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" [2007-10-16 11:35 626176]
"Cpu Level Up help"="C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe" [2007-09-11 10:32 880640]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 15:10 56928]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2008-04-14 16:51 249856]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 15:55 1628208]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 15:55 1057328]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23 75520]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 16:34 262401]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 09:46 497200]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 10:34 614960]
"LogitechSetup"="D:\Setup\Setup.exe" [ ]
"Acer Mouse"="C:\Programme\Gaming\GamingCenter\Panel.exe" [2005-07-30 16:23 249856]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\Michi\Startmen�\Programme\Autostart\
UltimateZip Quick Start.lnk - C:\Programme\UltimateZip\uzqkst.exe [2001-09-05 19:36:22 229888]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-13 10:45:26 124400]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Steam\\steamapps\\hebbe92\\half-life 2 deathmatch\\hl2.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 GMFilter Filter;GMFilter Filter;C:\WINDOWS\system32\Drivers\GMFilter.sys [2005-07-30 16:14]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2a642c-0923-11dd-aabf-001fc62fbe6a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe HEPPEL.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2a642d-0923-11dd-aabf-001fc62fbe6a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MICHAEL.vbs

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 17:13:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-04 17:15:26
ComboFix-quarantined-files.txt 2008-05-04 15:15:17

13 Verzeichnis(se), 232,927,305,728 Bytes frei
16 Verzeichnis(se), 232,951,861,248 Bytes frei

234
Dieser Beitrag wurde am 04.05.2008 um 18:46 Uhr von Keit editiert.
Seitenanfang Seitenende
04.05.2008, 20:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

««
wie es ausschaut ist dein USB-Stick verseucht...sagt dir etwas : der Name "Michael" ? - oder bist du das ? als "Michi" ?

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by MICHAEL

2008-04-13 10:36 . 2008-05-04 15:29 4,228 -rahs---- C:\MICHAEL.vbs
2008-04-14 16:25 . 2008-05-01 14:08 4,228 -rahs---- C:\HEPPEL.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2a642d-0923-11dd-aabf-001fc62fbe6a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MICHAEL.vbs
««
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\installer_en[1].exe
C:\WINDOWS\knxsrgte.exe
C:\WINDOWS\svorbmke.exe
Klicke auf den Roten MoveIt!


««
««scanne mit malwarebytes, lasse alles gefundene entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

««
wenn das erledigt ist, kümmern wir uns um den verseuchten Stick....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.05.2008, 16:24
...neu hier

Themenstarter

Beiträge: 4
#5 das bin ich als michi was macht der virus "hacked by ..." eigentlich



Malwarebytes' Anti-Malware 1.11
Datenbank Version: 719

Scan Art: Komplett Scan (C:\|F:\|)
Objekte gescannt: 103242
Scan Dauer: 25 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{53b70190-18ac-4a9b-9999-ab5a2ee144b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{8a3a5e9e-e192-4c90-9d41-b8de0916e03e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{638a8e0c-f206-471c-b346-9596addbb026} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VirusIsolator (Rogue.VirusIsolator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\spinstall (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WinAnonymous (Rogue.WinAnonymous) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Michi\Lokale Einstellungen\Tempmjiwep0.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20080504-164943-650.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2CBEFF98-EAEF-4D39-981B-EABFFCB5D0BF}\RP27\A0006106.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2CBEFF98-EAEF-4D39-981B-EABFFCB5D0BF}\RP27\A0006110.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2CBEFF98-EAEF-4D39-981B-EABFFCB5D0BF}\RP27\A0006165.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2CBEFF98-EAEF-4D39-981B-EABFFCB5D0BF}\RP27\A0006232.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2CBEFF98-EAEF-4D39-981B-EABFFCB5D0BF}\RP27\A0006241.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2CBEFF98-EAEF-4D39-981B-EABFFCB5D0BF}\RP27\A0006498.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05042008_164739\Program Files\AntiSpywareShield\AntiSpywareShield0.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05042008_164739\Program Files\AntiSpywareShield\AntiSpywareShield1.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05042008_164739\Program Files\AntiSpywareShield\AntiSpywareShield3.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05042008_164739\WINDOWS\mkrndofl.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05042008_164739\WINDOWS\wetkadmr.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05052008_162112\Dokumente und Einstellungen\Michi\Anwendungsdaten\installer_en[1].exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05052008_162112\WINDOWS\knxsrgte.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05052008_162112\WINDOWS\svorbmke.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\VirusIsolator.lnk (Rogue.VirusIsolator) -> Quarantined and deleted successfully.
Dieser Beitrag wurde am 05.05.2008 um 16:49 Uhr von Keit editiert.
Seitenanfang Seitenende
06.05.2008, 02:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

««
zuerst den Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2a642d-0923-11dd-aabf-001fc62fbe6a}]

File::
C:\MICHAEL.vbs
C:\HEPPEL.vbs

Folder::
C:\Programme\VirusIsolator

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

«
poste das neue Log von Combofix

««
scanne mit dr.web + poste den scanreport hier
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2008, 16:12
...neu hier

Themenstarter

Beiträge: 4
#7 ComboFix 08-05-01.3 - Michi 2008-05-07 16:08:00.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2860 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michi\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
F:\Autorun.inf
.
---- Previous Run -------
.
C:\autorun.inf
C:\HEPPEL.vbs
C:\MICHAEL.vbs

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-07 bis 2008-05-07 ))))))))))))))))))))))))))))))
.

2008-05-06 18:39 . 2008-05-07 16:07 4,228 -rahs---- C:\MICHAEL.vbs
2008-05-06 15:21 . 2008-05-06 15:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Megatech
2008-05-06 15:21 . 2006-07-26 11:58 45,056 --a------ C:\WINDOWS\system32\MPDLL.DLL
2008-05-06 15:21 . 2008-05-06 15:21 77 --a------ C:\WINDOWS\megapfad.ini
2008-05-06 15:19 . 2008-05-06 15:21 <DIR> d-------- C:\Programme\MegaCAD_3D_2007
2008-05-05 20:52 . 2008-05-07 16:07 4,228 -rahs---- C:\WINDOWS\system32\MICHAEL.vbs
2008-05-05 16:22 . 2008-05-05 16:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-05 16:22 . 2008-05-05 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Malwarebytes
2008-05-05 16:22 . 2008-05-05 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-04 19:44 . 2008-05-04 19:44 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-04 19:44 . 2008-05-04 19:44 <DIR> d-------- C:\Programme\Brother
2008-05-04 19:44 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-05-04 17:05 . 2008-05-04 17:05 <DIR> d-------- C:\RVAXO
2008-05-04 17:03 . 2008-05-04 00:41 817,514 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-04 17:03 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-04 16:58 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-04 16:58 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-04 16:58 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-04 16:58 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-04 16:58 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-04 16:58 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-04 16:58 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-04 16:58 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-04 16:58 . 2008-05-04 17:08 3,680 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-04 16:47 . 2008-05-04 16:47 <DIR> d-------- C:\_OTMoveIt
2008-05-04 15:57 . 2008-05-04 15:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-05-04 15:49 . 2008-05-04 15:49 <DIR> d-------- C:\Programme\Yahoo!
2008-05-04 15:49 . 2008-05-04 15:49 <DIR> d-------- C:\Programme\CCleaner
2008-05-04 14:55 . 2008-05-04 14:55 <DIR> d-------- C:\Programme\Trend Micro
2008-05-03 18:00 . 2008-05-03 18:00 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-03 17:52 . 2008-05-04 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\TmpRecentIcons
2008-05-02 16:00 . 2008-05-02 16:56 0 --a------ C:\WINDOWS\system32\magicpvt.dat
2008-05-01 16:43 . 2008-05-01 16:45 <DIR> d-------- C:\GRAPHPAP
2008-04-30 15:56 . 2008-04-30 15:56 <DIR> d--h----- C:\Programme\Zero G Registry
2008-04-30 15:56 . 2008-05-01 17:29 <DIR> d-------- C:\Programme\GeoGebra
2008-04-30 15:56 . 2008-04-30 15:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\InstallAnywhere
2008-04-29 19:08 . 2008-04-29 19:14 <DIR> d-------- C:\DVDVideoSoft
2008-04-29 19:06 . 2008-04-29 19:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-29 19:06 . 2008-04-29 19:24 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-04-29 19:06 . 2002-01-05 14:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-04-29 15:17 . 2008-04-29 15:17 <DIR> d-------- C:\Programme\DATA BECKER
2008-04-29 15:17 . 2008-04-29 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\WINDOWS
2008-04-29 15:17 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-04-29 15:17 . 1999-05-14 13:25 66,664 --a------ C:\WINDOWS\system32\CAN.TTF
2008-04-25 16:56 . 2008-04-25 17:00 <DIR> d-------- C:\Programme\Die Gilde 2 - Gold Edition
2008-04-25 16:52 . 2008-04-12 16:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Vorlagen
2008-04-25 16:52 . 2008-04-12 17:16 <DIR> dr------- C:\Dokumente und Einstellungen\Done\Startmenü
2008-04-25 16:52 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Netzwerkumgebung
2008-04-25 16:52 . 2008-05-07 16:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Lokale Einstellungen
2008-04-25 16:52 . 2008-04-25 16:52 <DIR> dr------- C:\Dokumente und Einstellungen\Done\Favoriten
2008-04-25 16:52 . 2008-04-25 16:52 <DIR> dr------- C:\Dokumente und Einstellungen\Done\Eigene Dateien
2008-04-25 16:52 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Done\Druckumgebung
2008-04-25 16:52 . 2008-04-25 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Done\Anwendungsdaten\ATI
2008-04-25 16:52 . 2008-04-25 17:39 <DIR> dr-h----- C:\Dokumente und Einstellungen\Done\Anwendungsdaten
2008-04-25 16:52 . 2008-04-25 16:53 <DIR> d-------- C:\Dokumente und Einstellungen\Done
2008-04-25 16:52 . 2008-05-07 15:19 1,024 --ah----- C:\Dokumente und Einstellungen\Done\ntuser.dat.LOG
2008-04-24 19:18 . 2008-04-24 19:18 378 --a------ C:\WINDOWS\cncscore.ini
2008-04-16 13:47 . 2008-05-07 15:25 <DIR> d-------- C:\Programme\Steam
2008-04-15 21:10 . 2008-04-15 21:10 <DIR> d-------- C:\Programme\Analog Devices
2008-04-15 21:10 . 2001-09-19 06:47 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2008-04-15 21:10 . 2006-03-17 11:18 392,960 -ra------ C:\WINDOWS\system32\drivers\senfilt.sys
2008-04-15 21:10 . 2007-01-16 03:09 293,888 -ra------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-04-15 21:10 . 2006-08-07 00:57 93,952 -ra------ C:\WINDOWS\system32\drivers\aeaudio.sys
2008-04-15 21:10 . 2003-08-19 12:36 65,536 --a--c--- C:\WINDOWS\system32\dllcache\a3d.dll
2008-04-15 21:10 . 2003-08-19 12:36 65,536 -ra------ C:\WINDOWS\system32\a3d.dll
2008-04-15 21:10 . 2006-06-30 09:00 28,160 -ra------ C:\WINDOWS\system32\PostProc.dll
2008-04-14 16:50 . 2008-04-14 16:51 <DIR> d-------- C:\Temp
2008-04-13 19:29 . 2008-04-13 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\COWON
2008-04-13 17:37 . 2008-04-13 19:29 <DIR> d-------- C:\Programme\JetAudio
2008-04-13 17:37 . 2008-04-13 17:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\COWON
2008-04-13 14:59 . 2008-04-13 14:59 <DIR> dr------- C:\WINDOWS\AsDmiHtm
2008-04-13 14:54 . 2008-04-15 18:34 35,227 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-04-13 13:10 . 2008-04-13 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Ahead
2008-04-13 12:04 . 2008-04-13 12:04 <DIR> d-------- C:\Programme\Gaming
2008-04-13 12:04 . 2005-07-30 16:20 2,576,384 --a------ C:\WINDOWS\system32\XWheel.dll
2008-04-13 12:04 . 2005-07-30 16:18 970,752 --a------ C:\WINDOWS\system32\MousePage.dll
2008-04-13 12:04 . 2005-07-30 16:20 593,920 --a------ C:\WINDOWS\system32\XIndicator.dll
2008-04-13 12:04 . 2005-07-30 16:17 221,184 --a------ C:\WINDOWS\system32\Hook.dll
2008-04-13 12:04 . 2005-07-30 16:14 25,088 --a------ C:\WINDOWS\system32\drivers\GMFilter.sys
2008-04-13 11:21 . 2008-04-13 11:21 <DIR> d-------- C:\Programme\Logitech
2008-04-13 11:21 . 2008-04-13 11:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-04-13 11:21 . 2008-04-13 11:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-13 11:20 . 2008-04-13 11:20 <DIR> d-------- C:\Programme\VideoLAN
2008-04-13 11:20 . 2008-04-13 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\vlc
2008-04-13 10:45 . 2008-04-13 10:47 <DIR> d-------- C:\Programme\Google
2008-04-13 10:45 . 2008-05-05 16:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-13 10:43 . 2008-04-13 10:43 <DIR> d-------- C:\Programme\Avira
2008-04-13 10:43 . 2008-04-13 10:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-13 09:16 . 2008-04-13 09:16 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\CyberLink
2008-04-13 09:16 . 2008-04-13 09:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-04-13 08:55 . 2008-05-07 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\skypePM
2008-04-13 08:55 . 2008-04-13 08:55 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-04-13 08:54 . 2008-04-13 08:54 <DIR> d-------- C:\Programme\Skype
2008-04-13 08:54 . 2008-04-13 08:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-04-13 08:54 . 2008-05-07 16:07 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Skype
2008-04-13 08:53 . 2008-04-13 08:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-04-13 08:49 . 2008-04-13 15:10 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\ICQ
2008-04-13 08:48 . 2008-04-17 06:24 <DIR> d-------- C:\Programme\ICQ6
2008-04-13 08:48 . 2008-04-13 08:48 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\InstallShield
2008-04-13 08:36 . 2008-04-13 08:36 <DIR> d-------- C:\Programme\Opera
2008-04-13 08:34 . 2006-02-28 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-04-12 17:54 . 2008-04-12 17:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-04-12 17:47 . 2007-10-17 03:33 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-04-12 17:46 . 2008-04-12 17:57 <DIR> d-------- C:\Programme\ATI Technologies
2008-04-12 17:41 . 2008-04-12 17:41 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-04-12 17:41 . 2008-04-12 17:44 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-04-12 17:40 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-04-12 17:40 . 2006-12-08 12:02 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2008-04-12 17:39 . 2008-04-12 17:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-12 17:30 . 2008-04-12 17:30 <DIR> d-------- C:\Programme\THQ
2008-04-12 17:19 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-04-12 17:18 . 2004-08-04 01:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-04-12 17:18 . 2004-08-04 01:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-04-12 17:17 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-04-12 17:17 . 2004-08-04 00:57 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2008-04-12 17:17 . 2001-08-17 14:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-04-12 17:16 . 2008-04-12 16:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-04-12 17:16 . 2008-04-12 17:16 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-04-12 17:16 . 2008-05-04 12:45 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 13:19 --------- d-----w C:\Programme\lg_fwupdate
2008-05-04 11:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-13 06:57 --------- d-----w C:\Programme\Microsoft Works
2008-04-12 16:48 --------- d-----w C:\Programme\Java
2008-04-12 16:47 --------- d-----w C:\Programme\UltimateZip
2008-04-12 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-04-12 16:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-04-12 16:41 --------- d-----w C:\Programme\Nero
2008-04-12 16:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-12 16:05 --------- d-----w C:\Programme\CyberLink
2008-04-12 16:00 --------- d-----w C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\ATI
2008-04-12 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-12 15:47 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-12 14:59 --------- d-----w C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\TMP
2008-04-12 14:48 --------- d-----w C:\Programme\Intel
2008-04-12 14:41 --------- d-----w C:\Programme\Microsoft.NET
2008-04-12 14:26 --------- d-----w C:\Programme\microsoft frontpage
2008-04-12 14:25 --------- d-----w C:\Programme\Online-Dienste
2008-04-12 14:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((( snapshot@2008-05-04_17.14.42,48 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-04 15:05:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-07 13:19:18 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-12 15:54:27 70,778 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-05 15:50:17 70,778 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-04-12 15:54:27 58,732 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-05 15:50:17 58,732 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-12 15:54:27 405,448 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-05 15:50:17 405,448 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-04-12 15:54:27 392,432 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-05 15:50:17 392,432 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024]
"Steam"="c:\programme\steam\steam.exe" [2008-04-16 13:48 1271032]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-04-27 19:25 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ai Nap"="C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe" [2007-09-06 11:19 1426432]
"CPU Power Monitor"="C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe" [2007-10-16 11:35 626176]
"Cpu Level Up help"="C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe" [2007-09-11 10:32 880640]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 15:10 56928]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2008-04-14 16:51 249856]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 15:55 1628208]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 15:55 1057328]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23 75520]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 16:34 262401]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 09:46 497200]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 10:34 614960]
"LogitechSetup"="D:\Setup\Setup.exe" [ ]
"Acer Mouse"="C:\Programme\Gaming\GamingCenter\Panel.exe" [2005-07-30 16:23 249856]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"MICHAEL"="C:\WINDOWS\SYSTEM32\MICHAEL.vbs" [2008-05-07 16:07 4228]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\Michi\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - C:\Programme\UltimateZip\uzqkst.exe [2001-09-05 19:36:22 229888]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-13 10:45:26 124400]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"C:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Steam\\steamapps\\hebbe92\\half-life 2 deathmatch\\hl2.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 GMFilter Filter;GMFilter Filter;C:\WINDOWS\system32\Drivers\GMFilter.sys [2005-07-30 16:14]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2a642d-0923-11dd-aabf-001fc62fbe6a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MICHAEL.vbs

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-07 16:10:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-07 16:11:49
ComboFix-quarantined-files.txt 2008-05-07 14:11:42
ComboFix2.txt 2008-05-04 15:15:28

13 Verzeichnis(se), 209,689,108,480 Bytes frei
16 Verzeichnis(se), 209,685,311,488 Bytes frei

250
Seitenanfang Seitenende
07.05.2008, 16:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
lade von hier: und wende es an
http://board.protecus.de/t33255.htm
20.04.2008, 20:58
Tobi13
Anhang: ANTIVIR_CONSOLE.rar

2.
erstelle eine neue cfscript.txt

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2a642d-0923-11dd-aabf-001fc62fbe6a}]

File::
C:\MICHAEL.vbs
C:\WINDOWS\system32\MICHAEL.vbs
dann wieder auf Combofix ziehen + Combofix noch mal anwenden

+
poste das neue log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende