KvmSecure entfernen

#0
22.05.2008, 16:03
...neu hier

Beiträge: 3
#1 Guten Tag,
Ich hoffe, sie können mir helfen.
Mein Computer wurde sehr wahrscheinlich durch Trojaner infiziert. Genauere Fehlerbeschreibung findet sich unten.

Hier ist das Logfile von Combofix:

ComboFix 08-05-21.2 - Sven Veismann 2008-05-22 15:40:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1350 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sven Veismann\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Sven Veismann\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Sven Veismann\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Sven Veismann\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Sven Veismann\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Sven Veismann\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Sven Veismann\Favoriten\Spyware&Malware Protection.url

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-22 bis 2008-05-22 ))))))))))))))))))))))))))))))
.

2008-05-21 21:31 . 2008-05-21 17:43 217,088 --a------ C:\WINDOWS\nldfmtapnvb.dll
2008-05-21 21:31 . 2008-05-21 17:43 94,208 --a------ C:\WINDOWS\elsq.exe

2008-05-21 20:09 . 2008-05-21 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-05-21 19:56 . 2008-05-21 19:56 <DIR> d-------- C:\Programme\Trend Micro
2008-05-21 19:43 . 2006-09-05 18:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-21 15:36 . 2008-05-21 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\TmpRecentIcons
2008-05-20 22:11 . 2008-05-20 22:11 <DIR> d-------- C:\Programme\KvmSecure
2008-05-20 20:56 . 2008-05-20 20:56 62,910 --a------ C:\Programme\Uninstall.exe
2008-05-20 20:56 . 2008-05-20 20:56 0 --a------ C:\Programme\uninstall.dat
2008-05-20 19:48 . 2008-05-20 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-20 19:48 . 2008-05-21 17:43 217,088 --a------ C:\WINDOWS\pxgdslro.dll
2008-05-20 19:48 . 2008-05-20 18:17 217,088 --a------ C:\WINDOWS\nldfmtapanw.dll
2008-05-20 19:48 . 2008-05-21 17:43 176,128 --a------ C:\WINDOWS\gnowmebk.dll
2008-05-20 19:48 . 2008-05-21 17:43 151,552 --a------ C:\WINDOWS\gktxaspm.dll
2008-05-20 19:48 . 2008-05-20 18:17 94,208 --a------ C:\WINDOWS\emxg.exe
2008-05-20 19:48 . 2008-05-21 17:44 81,920 --a------ C:\WINDOWS\mdtgkswr.exe

2008-05-16 16:04 . 2008-05-16 16:04 <DIR> d-------- C:\Program Files
2008-05-16 16:04 . 2003-07-21 05:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2008-05-16 16:04 . 2005-01-04 20:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2008-05-11 15:12 . 2008-05-11 21:15 275,258 --a------ C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\mdb.bin
2008-05-11 14:47 . 2008-05-11 16:02 <DIR> d-------- C:\Programme\Rossmann Fotoservice
2008-05-04 22:00 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-05-04 21:59 . 2008-05-04 21:59 <DIR> d-------- C:\Programme\Magical Glass
2008-05-04 21:59 . 2008-05-04 21:59 <DIR> d-------- C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\FreeStone Group
2008-04-26 20:00 . 2008-04-26 20:02 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-04-26 20:00 . 2008-04-26 20:01 677 --a------ C:\WINDOWS\mozver.dat
2008-04-24 21:35 . 2008-04-24 21:35 <DIR> d-------- C:\Programme\iTunes
2008-04-24 21:35 . 2008-04-24 21:35 <DIR> d-------- C:\Programme\iPod
2008-04-24 21:20 . 2008-04-24 21:20 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-24 20:28 . 2008-04-24 20:28 <DIR> d-------- C:\Programme\Xvid
2008-04-24 20:28 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-04-24 20:28 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-04-24 20:28 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-21 13:41 --------- d-----w C:\Programme\ICQToolbar
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CISUnins.exe
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CICUnins.exe
2008-04-24 19:34 --------- d-----w C:\Programme\QuickTime
2008-04-21 18:20 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-04-20 16:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-20 16:46 --------- d-----w C:\Programme\Trust
2008-04-09 14:09 --------- d-----w C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\ICQ
2008-04-09 12:31 --------- d-----w C:\Programme\TVgenial
2008-04-04 18:03 --------- d-----w C:\Programme\TI Education
2008-04-04 18:03 --------- d-----w C:\Programme\Gemeinsame Dateien\TI Shared
2008-04-04 17:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-31 18:57 --------- d-----w C:\Programme\Java
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-26 17:55 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8203.exe
2008-02-26 17:55 14,852 ----a-w C:\Programme\settings.dat
2007-12-27 22:43 1,491 ----a-w C:\Programme\Paint.lnk
2007-11-06 18:11 1,480 ----a-w C:\Programme\Rechner.lnk
2007-10-08 18:13 185,928 ----a-w C:\Programme\googlebar-0.9.15.11-fx+ns.xpi
2007-10-07 09:28 9,610 ----a-w C:\Programme\WEB.DE-Kontakte.csv
2007-10-01 18:02 772 ----a-w C:\Programme\Windows Media Player.lnk
2007-09-24 06:19 747 ----a-w C:\Programme\Internet Explorer.lnk
2007-09-24 06:08 839 ----a-w C:\Programme\WordPad.lnk
2007-09-24 06:08 621 ----a-w C:\Programme\Windows Messenger.lnk
2007-09-24 06:07 2,004 ----a-w C:\Programme\MSN.lnk
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{19B407D9-1A45-4654-8D09-D47081DFEE97}]
2008-05-20 18:17 217088 --a------ C:\WINDOWS\nldfmtapanw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2AB0CA27-95E4-437A-8093-FADF3A2FAC42}]
2008-05-21 17:43 217088 --a------ C:\WINDOWS\nldfmtapnvb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{F8028315-F932-431F-B16A-DB39815818F0}"= "C:\WINDOWS\gktxaspm.dll" [2008-05-21 17:43 151552]
"{AE7C2D7A-58B4-4DDD-904F-E089A9514E0F}"= "C:\WINDOWS\gktxaspm.dll" [2008-05-21 17:43 151552]

[HKEY_CLASSES_ROOT\clsid\{f8028315-f932-431f-b16a-db39815818f0}]
[HKEY_CLASSES_ROOT\gktxaspm.1]
[HKEY_CLASSES_ROOT\TypeLib\{22941D44-53A7-4ACA-949D-1C12622A6A9B}]
[HKEY_CLASSES_ROOT\gktxaspm]

[HKEY_CLASSES_ROOT\clsid\{ae7c2d7a-58b4-4ddd-904f-e089a9514e0f}]
[HKEY_CLASSES_ROOT\gktxaspm.1]
[HKEY_CLASSES_ROOT\TypeLib\{6A219592-3D06-46A5-B3FF-CBC8EB6FFF2B}]
[HKEY_CLASSES_ROOT\gktxaspm]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27 153136]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]
"CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 12:03 868352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-12-21 14:34 1649600]
"ClipIncSrvTray"="C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" [2008-04-18 18:08 584704]
"KvmSecure.exe"="C:\Programme\KvmSecure\KvmSecure.exe" [2008-05-20 22:11 1314304]
"WinSpywareProtect (ver. 5.1)"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"nwiz"="nwiz.exe" [2006-10-31 08:35 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 08:35 86016]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 12:00 262401]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 12:52 221184]
"CTCheck"="C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 12:08 397312]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"WireLessMouse"="C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe" [2007-03-06 12:18 212992]
"KMCONFIG"="C:\Programme\Trust\Trust R-Series Mouse\StartAutorun.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2008-05-21 19:51 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Sven Veismann\Startmen\Programme\Autostart\
D-Link AirPlus Xtreme G Configuration Utility.lnk - C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe [2007-10-17 20:57:23 512082]
Memeo AutoBackup Launcher.lnk - C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\Microsoft\Installer\{EB010408-D6F4-453E-AA83-96E0EAA65D53}\NewShortcut4_51A847D327C24F7797772AF2A4E486ED.exe [2008-01-16 21:45:10 73728]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
D-Link AirPlus Xtreme G Configuration Utility.lnk - C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe [2007-10-17 20:57:23 512082]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 16:39 294400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"gnowmebk"= {D0628E09-EA26-4110-8CA3-97205D4469CB} - C:\WINDOWS\gnowmebk.dll [2008-05-21 17:43 176128]
"pxgdslro"= {1E74A0BF-DDEA-4B10-ACB4-C0FBC9A5916E} - C:\WINDOWS\pxgdslro.dll [2008-05-21 17:43 217088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"D:\\Games\\CS 1.6\\Valve an Recker-neu\\hl.exe"=
"D:\\Games\\CSSource\\hl2.exe"=
"C:\\Programme\\Half-Life 2 Deathmatch\\hl2.exe"=
"D:\\Games\\cSS-bETA\\hl2.exe"=
"D:\\Games\\War3\\war3.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Dokumente und Einstellungen\\Sven Veismann\\Desktop\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=

R2 ClipInc001;ClipInc 001;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 ClipInc004;ClipInc 004;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 004 []
R2 ClipInc005;ClipInc 005;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 005 []
R2 ClipInc006;ClipInc 006;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 006 []
R3 KMWDFilter;KMWDFilter;C:\WINDOWS\System32\Drivers\KMWDFilter.SYS [2007-02-13 08:42]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 19:58:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-22 15:43:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
KvmSecure.exe = C:\Programme\KvmSecure\KvmSecure.exe????????????????????????????
???????????????????????????????????????????????????????????????????????
??????\?????????????????????????????????????????????????
????????????????????????
????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
Zeit der Fertigstellung: 2008-05-22 15:44:35
ComboFix-quarantined-files.txt 2008-05-22 13:44:29

10 Verzeichnis(se), 99,101,900,800 Bytes frei
15 Verzeichnis(se), 102,656,806,912 Bytes frei

197 --- E O F --- 2008-04-22 19:06:14







Hier ist das Hijackthis Logfile:






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:54:32, on 22.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\KvmSecure\KvmSecure.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Memeo\AutoBackup\MemeoBackup.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Rhythm - {19B407D9-1A45-4654-8D09-D47081DFEE97} - C:\WINDOWS\nldfmtapanw.dll
O2 - BHO: QXK Rhythm - {2AB0CA27-95E4-437A-8093-FADF3A2FAC42} - C:\WINDOWS\nldfmtapnvb.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: gktxaspm - {F8028315-F932-431F-B16A-DB39815818F0} - C:\WINDOWS\gktxaspm.dll
O3 - Toolbar: gktxaspm - {AE7C2D7A-58B4-4DDD-904F-E089A9514E0F} - C:\WINDOWS\gktxaspm.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Trust\Trust R-Series Mouse\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [KvmSecure.exe] C:\Programme\KvmSecure\KvmSecure.exe
O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O4 - Startup: Memeo AutoBackup Launcher.lnk = ?
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/SU1.5/ocx/15030/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/SU1.5/ocx/15033/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: gnowmebk - {D0628E09-EA26-4110-8CA3-97205D4469CB} - C:\WINDOWS\gnowmebk.dll
O21 - SSODL: pxgdslro - {1E74A0BF-DDEA-4B10-ACB4-C0FBC9A5916E} - C:\WINDOWS\pxgdslro.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 006 (ClipInc006) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 10998 bytes

Hier ist das Uninstall Manager Logfile von Hijackthis:

Adobe Flash Player 9 ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
AnyDVD
Apple Mobile Device Support
Apple Software Update
auxilium 3.1 light
AVG Anti-Spyware 7.5
Avira AntiVir Personal – Free Antivirus
Battlefield 2(TM)
Battlefield 2: Special Forces
CloneCD
CloneDVD2
Creative Removable Disk Manager
Creative System Information
Creative ZEN
D-Link AirPlus Xtreme G Adapter
Free YouTube to Mp3 Converter version 2.4
Google Earth
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
ICQ6
ISIS Draw 2.1.4 Standalone
iTunes
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
LexiROM 3.0
LimeWire 4.14.10
Logitech® Camera-Treiber
MAGIX Foto Manager
MAGIX Music Manager
MAGIX Online Druck Service
MAGIX Video deLuxe 2005 2006 PLUS
Mozilla Firefox (2.0.0.14)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nero 7 Ultra Edition
neroxml
NVIDIA Drivers
Paint.NET v3.20
PDFCreator
PDFCreator Toolbar
QuickTime
Realtek High Definition Audio Driver
Rossmann Fotoservice
Skype™ 3.5
Star Wars Jedi Knight Jedi Academy
TeVeo VIDiO Suite
TI Connect 1.6
Tobit.Software ClipInc
TrackMania Nations ESWC 1.7.9
Trust R-Series Mouse
Trust R-series Mouse And Keyboard
TVgenial
Uninstall 1.0.0.0
VideoLAN VLC media player 0.8.6d
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows-Desktopsuche 3.01
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
WinRAR
XnView 1.92
Xvid 1.1.3 final uninstall
ZEN Media Explorer
ZENcast Organizer

Hier ist das Logfile der datfind.bat:

Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C04B-DAD8

Verzeichnis von C:\WINDOWS\system32

22.05.2008 12:57 81.496 nvapps.xml
22.05.2008 12:57 2.206 wpa.dbl
16.05.2008 16:06 315.560 FNTCACHE.DAT
05.04.2008 22:56 19.836.024 MRT.exe
04.04.2008 21:10 435.896 perfh009.dat
04.04.2008 21:10 68.540 perfc009.dat
04.04.2008 21:10 477.570 perfh007.dat
04.04.2008 21:10 91.478 perfc007.dat
04.04.2008 21:10 1.088.178 PerfStringBackup.INI
31.03.2008 20:57 6.641 jupdate-1.6.0_05-b13.log
28.03.2008 23:37 57.344 QuickTime.qts
28.03.2008 23:37 90.112 QuickTimeVR.qtx
20.03.2008 10:03 1.845.376 win32k.sys
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:53 52.224 msfeedsbs.dll
01.03.2008 14:53 459.264 msfeeds.dll
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 124.928 advpack.dll
01.03.2008 14:53 347.136 dxtmsft.dll
29.02.2008 10:54 70.656 ie4uinit.exe
22.02.2008 12:00 13.824 ieudinit.exe
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe

Hallo, ich habe seit 2 Tagen große Probleme mit meinem PC. Es öffen sich sehr häufig (ca. alle 2 min.) Pop-up Fenster, welche für anti Spyware Produkte werben. Es gibt ca. 7 verschiedene Programme, die beworben werden, wie zum Beispiel KVM Secure, Spyware Alert, Spy Guarder und ähnliche.
Ich habe schon 3 x ein Programm zur identifizierung und beseitigung solcher Fehler laufen lassen, dies führte allerdings nicht zum Erfolg.
Aufgrund der infiltration meines Computers mit diesen Trojanern (?) wird mein PC langsamer.
Für Hilfe wäre ich sehr dankbar.
Mit freundlichen Grüßen,
Sven Veismann
Seitenanfang Seitenende
22.05.2008, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Halllo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral.c/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: QXK Rhythm - {19B407D9-1A45-4654-8D09-D47081DFEE97} - C:\WINDOWS\nldfmtapanw.dll

O2 - BHO: QXK Rhythm - {2AB0CA27-95E4-437A-8093-FADF3A2FAC42} - C:\WINDOWS\nldfmtapnvb.dll

O3 - Toolbar: gktxaspm - {F8028315-F932-431F-B16A-DB39815818F0} - C:\WINDOWS\gktxaspm.dll

O3 - Toolbar: gktxaspm - {AE7C2D7A-58B4-4DDD-904F-E089A9514E0F} - C:\WINDOWS\gktxaspm.dll

O4 - HKCU\..\Run: [KvmSecure.exe] C:\Programme\KvmSecure\KvmSecure.exe

O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software
Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun

O21 - SSODL: gnowmebk - {D0628E09-EA26-4110-8CA3-97205D4469CB} - C:\WINDOWS\gnowmebk.dll

O21 - SSODL: pxgdslro - {1E74A0BF-DDEA-4B10-ACB4-C0FBC9A5916E} - C:\WINDOWS\pxgdslro.dll

««
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{19B407D9-1A45-4654-8D09-D47081DFEE97}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2AB0CA27-95E4-437A-8093-FADF3A2FAC42}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{F8028315-F932-431F-B16A-DB39815818F0}"=-
"{AE7C2D7A-58B4-4DDD-904F-E089A9514E0F}"=-
[-HKEY_CLASSES_ROOT\clsid\{f8028315-f932-431f-b16a-db39815818f0}]
[-HKEY_CLASSES_ROOT\gktxaspm.1]
[-HKEY_CLASSES_ROOT\TypeLib\{22941D44-53A7-4ACA-949D-1C12622A6A9B}]
[-HKEY_CLASSES_ROOT\gktxaspm]
[-HKEY_CLASSES_ROOT\clsid\{ae7c2d7a-58b4-4ddd-904f-e089a9514e0f}]
[-HKEY_CLASSES_ROOT\gktxaspm.1]
[-HKEY_CLASSES_ROOT\TypeLib\{6A219592-3D06-46A5-B3FF-CBC8EB6FFF2B}]
[-HKEY_CLASSES_ROOT\gktxaspm]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KvmSecure.exe"=-
"WinSpywareProtect (ver. 5.1)"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"gnowmebk"=-
"pxgdslro"=-

File::
C:\WINDOWS\nldfmtapnvb.dll
C:\WINDOWS\elsq.exe
C:\WINDOWS\pxgdslro.dll
C:\WINDOWS\nldfmtapanw.dll
C:\WINDOWS\gnowmebk.dll
C:\WINDOWS\gktxaspm.dll
C:\WINDOWS\emxg.exe
C:\WINDOWS\mdtgkswr.exe
C:\Programme\Uninstall.exe
C:\Programme\uninstall.dat

Folder::
C:\Programme\KvmSecure
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

«
3.
poste das neue Log von Combofix hier

-------------------------------------
4.
PC neustarten

««
5.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

OMSCAN

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

KvmSecure

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Adsl Software

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
------------------------------------------------------------

6.
wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.05.2008, 19:27
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo,
Hier ist das neue Log von Combofix:




ComboFix 08-05-21.2 - Sven Veismann 2008-05-22 18:44:06.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1425 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sven Veismann\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Sven Veismann\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\Programme\uninstall.dat
C:\Programme\Uninstall.exe
C:\WINDOWS\elsq.exe
C:\WINDOWS\emxg.exe
C:\WINDOWS\gktxaspm.dll
C:\WINDOWS\gnowmebk.dll
C:\WINDOWS\mdtgkswr.exe
C:\WINDOWS\nldfmtapanw.dll
C:\WINDOWS\nldfmtapnvb.dll
C:\WINDOWS\pxgdslro.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080520205332656.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521153754751.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521190745234.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521201013093.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521211136593.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521211718953.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080522125856265.log
C:\Dokumente und Einstellungen\Sven Veismann\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Sven Veismann\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Sven Veismann\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Sven Veismann\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Sven Veismann\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Sven Veismann\Favoriten\Spyware&Malware Protection.url
C:\Programme\KvmSecure
C:\Programme\KvmSecure\KvmSecure.exe
C:\Programme\KvmSecure\vscan.tsi
C:\Programme\KvmSecure\zlib.dll
C:\Programme\uninstall.dat
C:\Programme\Uninstall.exe
C:\WINDOWS\elsq.exe
C:\WINDOWS\emxg.exe
C:\WINDOWS\gktxaspm.dll
C:\WINDOWS\gnowmebk.dll
C:\WINDOWS\mdtgkswr.exe
C:\WINDOWS\pxgdslro.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-22 bis 2008-05-22 ))))))))))))))))))))))))))))))
.

2008-05-21 20:09 . 2008-05-21 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-05-21 19:56 . 2008-05-21 19:56 <DIR> d-------- C:\Programme\Trend Micro
2008-05-21 19:43 . 2006-09-05 18:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-21 15:36 . 2008-05-21 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\TmpRecentIcons
2008-05-16 16:04 . 2008-05-16 16:04 <DIR> d-------- C:\Program Files
2008-05-16 16:04 . 2003-07-21 05:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2008-05-16 16:04 . 2005-01-04 20:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2008-05-11 15:12 . 2008-05-11 21:15 275,258 --a------ C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\mdb.bin
2008-05-11 14:47 . 2008-05-11 16:02 <DIR> d-------- C:\Programme\Rossmann Fotoservice
2008-05-04 22:00 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-05-04 21:59 . 2008-05-04 21:59 <DIR> d-------- C:\Programme\Magical Glass
2008-05-04 21:59 . 2008-05-04 21:59 <DIR> d-------- C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\FreeStone Group
2008-04-26 20:00 . 2008-04-26 20:02 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-04-26 20:00 . 2008-04-26 20:01 677 --a------ C:\WINDOWS\mozver.dat
2008-04-24 21:35 . 2008-04-24 21:35 <DIR> d-------- C:\Programme\iTunes
2008-04-24 21:35 . 2008-04-24 21:35 <DIR> d-------- C:\Programme\iPod
2008-04-24 21:20 . 2008-04-24 21:20 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-24 20:28 . 2008-04-24 20:28 <DIR> d-------- C:\Programme\Xvid
2008-04-24 20:28 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-04-24 20:28 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-04-24 20:28 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-21 13:41 --------- d-----w C:\Programme\ICQToolbar
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CISUnins.exe
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CICUnins.exe
2008-04-24 19:34 --------- d-----w C:\Programme\QuickTime
2008-04-21 18:20 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-04-20 16:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-20 16:46 --------- d-----w C:\Programme\Trust
2008-04-09 14:09 --------- d-----w C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\ICQ
2008-04-09 12:31 --------- d-----w C:\Programme\TVgenial
2008-04-04 18:03 --------- d-----w C:\Programme\TI Education
2008-04-04 18:03 --------- d-----w C:\Programme\Gemeinsame Dateien\TI Shared
2008-04-04 17:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-31 18:57 --------- d-----w C:\Programme\Java
2008-02-26 17:55 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8203.exe
2008-02-26 17:55 14,852 ----a-w C:\Programme\settings.dat
2007-12-27 22:43 1,491 ----a-w C:\Programme\Paint.lnk
2007-11-06 18:11 1,480 ----a-w C:\Programme\Rechner.lnk
2007-10-08 18:13 185,928 ----a-w C:\Programme\googlebar-0.9.15.11-fx+ns.xpi
2007-10-07 09:28 9,610 ----a-w C:\Programme\WEB.DE-Kontakte.csv
2007-10-01 18:02 772 ----a-w C:\Programme\Windows Media Player.lnk
2007-09-24 06:19 747 ----a-w C:\Programme\Internet Explorer.lnk
2007-09-24 06:08 839 ----a-w C:\Programme\WordPad.lnk
2007-09-24 06:08 621 ----a-w C:\Programme\Windows Messenger.lnk
2007-09-24 06:07 2,004 ----a-w C:\Programme\MSN.lnk
.

((((((((((((((((((((((((((((( snapshot@2008-05-22_15.44.17,03 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-22 10:56:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-22 16:46:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27 153136]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]
"CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 12:03 868352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-12-21 14:34 1649600]
"ClipIncSrvTray"="C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" [2008-04-18 18:08 584704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"nwiz"="nwiz.exe" [2006-10-31 08:35 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 08:35 86016]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 12:00 262401]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 12:52 221184]
"CTCheck"="C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 12:08 397312]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"WireLessMouse"="C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe" [2007-03-06 12:18 212992]
"KMCONFIG"="C:\Programme\Trust\Trust R-Series Mouse\StartAutorun.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2008-05-21 19:51 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 16:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"D:\\Games\\CS 1.6\\Valve an Recker-neu\\hl.exe"=
"D:\\Games\\CSSource\\hl2.exe"=
"C:\\Programme\\Half-Life 2 Deathmatch\\hl2.exe"=
"D:\\Games\\cSS-bETA\\hl2.exe"=
"D:\\Games\\War3\\war3.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Dokumente und Einstellungen\\Sven Veismann\\Desktop\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=

R2 ClipInc001;ClipInc 001;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 ClipInc004;ClipInc 004;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 004 []
R2 ClipInc005;ClipInc 005;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 005 []
R2 ClipInc006;ClipInc 006;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 006 []
R3 KMWDFilter;KMWDFilter;C:\WINDOWS\System32\Drivers\KMWDFilter.SYS [2007-02-13 08:42]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 19:58:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-22 18:47:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\WudfHost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\searchindexer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\D-Link AirPlus Xtreme G\AIRPLUS.exe
C:\Programme\Memeo\AutoBackup\MemeoBackup.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-22 18:58:24 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-22 16:58:21
ComboFix2.txt 2008-05-22 13:44:36

10 Verzeichnis(se), 102,449,299,456 Bytes frei
14 Verzeichnis(se), 102,550,351,872 Bytes frei

220 --- E O F --- 2008-04-22 19:06:14






Hier ist das Log von regsearch mit dem searchstring OMSCAN:





Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 22.05.2008 19:08:20 for strings:
; 'omscan'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\OMSCAN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\OMSCAN\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\OMSCAN]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OMSCAN]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OMSCAN\Enum]

; End Of The Log...





Hier ist das Log von regsearch mit dem searchstring kvm secure:





Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 22.05.2008 19:09:41 for strings:
; 'kvmsecure'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\KvmSecure]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\KvmSecure]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\SVENVE~1\\LOKALE~1\\Tempboome20.exe"="KvmSecure"
"C:\\Programme\\KvmSecure\\KvmSecure.exe"="KvmSecure"

; End Of The Log...




Hier ist das Log von regsearch mit dem searchstring adsl software:





Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 22.05.2008 19:11:19 for strings:
; 'adsl software'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Adsl Software Limited]

[HKEY_CURRENT_USER\Software\Adsl Software Limited\Installer]

[HKEY_CURRENT_USER\Software\Adsl Software Limited\WinSpywareProtect]

[HKEY_CURRENT_USER\Software\Adsl Software Limited\WinSpywareProtect\5.1]

[HKEY_CURRENT_USER\Software\Adsl Software Limited\WinSpywareProtect\5.1\config]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Adsl Software Limited\\WinSpywareProtect\\WinSpywareProtect.exe"="WinSpywareProtect"

; End Of The Log...





Hier ist das Log von windowsscan:





Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

22.05.2008 QTFont.qfn 19 02:54.156
22.05.2008 WindowsUpdate.log 19 02:1.618.938
22.05.2008 wiadebug.log 19 02:157
22.05.2008 wiaservc.log 19 02:50
22.05.2008 0.log 19 01:0
22.05.2008 bootstat.dat 19 01:2.048
22.05.2008 SchedLgU.Txt 19 00:32.634
22.05.2008 system.ini 18 47:227
21.05.2008 NeroDigital.ini 20 44:69
28.04.2008 CISUnins.exe 15 16:1.541.896
28.04.2008 CICUnins.exe 15 16:1.541.896
26.04.2008 mozver.dat 20 01:677
26.03.2008 QTFont.for 12 27:1.409
12.03.2008 tpl.cfg 16 56:3.141
12.03.2008 win.ini 16 56:645
12.03.2008 ISISAIM.INI 16 51:1.138
26.02.2008 PDFCreator_Toolbar_Uninstaller_8203.exe 19 55:253.116
19.02.2008 ISIS.INI 16 03:78
17.02.2008 ISISAIHP.INI 19 37:1.579
26.12.2007 scmate.ini 00 11:48
25.12.2007 _delis32.ini 22 44:272
25.12.2007 WMSysPr9.prx 20 51:316.640
25.12.2007 lifeview.ini 20 22:49
18.12.2007 Twacker.ini 17 45:45
02.12.2007 Thumbs.db 19 21:7.680
23.10.2007 videodeLuxe.INI 20 48:123
01.10.2007 nsreg.dat 20 34:0


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

22.05.2008 nvapps.xml 19 02:81.496
22.05.2008 wpa.dbl 19 02:2.206
16.05.2008 FNTCACHE.DAT 16 06:315.560
05.04.2008 MRT.exe 22 56:19.836.024
04.04.2008 perfh009.dat 21 10:435.896
04.04.2008 perfc009.dat 21 10:68.540
04.04.2008 perfh007.dat 21 10:477.570
04.04.2008 perfc007.dat 21 10:91.478
04.04.2008 PerfStringBackup.INI 21 10:1.088.178
31.03.2008 jupdate-1.6.0_05-b13.log 20 57:6.641
28.03.2008 QuickTime.qts 23 37:57.344
28.03.2008 QuickTimeVR.qtx 23 37:90.112
20.03.2008 win32k.sys 10 03:1.845.376
01.03.2008 mshtml.dll 18 24:3.591.680
01.03.2008 webcheck.dll 14 54:233.472
01.03.2008 wininet.dll 14 54:826.368
01.03.2008 url.dll 14 54:105.984
01.03.2008 urlmon.dll 14 54:1.159.680
01.03.2008 pngfilt.dll 14 54:44.544
01.03.2008 occache.dll 14 54:102.912
01.03.2008 msrating.dll 14 54:193.024
01.03.2008 mstime.dll 14 54:671.232
01.03.2008 mshtmled.dll 14 54:478.208
01.03.2008 msfeedsbs.dll 14 53:52.224
01.03.2008 msfeeds.dll 14 53:459.264
01.03.2008 jsproxy.dll 14 53:27.648
01.03.2008 inetcpl.cpl 14 53:1.831.424
01.03.2008 iernonce.dll 14 53:44.544
01.03.2008 iertutil.dll 14 53:267.776
01.03.2008 ieframe.dll 14 53:6.066.176
01.03.2008 iedkcs32.dll 14 53:384.512
01.03.2008 ieapfltr.dll 14 53:383.488
01.03.2008 extmgr.dll 14 53:133.120
01.03.2008 icardie.dll 14 53:63.488
01.03.2008 ieaksie.dll 14 53:230.400
01.03.2008 dxtrans.dll 14 53:214.528
01.03.2008 ieakeng.dll 14 53:153.088
01.03.2008 advpack.dll 14 53:124.928
01.03.2008 dxtmsft.dll 14 53:347.136
29.02.2008 ie4uinit.exe 10 54:70.656
22.02.2008 ieudinit.exe 12 00:13.824
22.02.2008 javaws.exe 02 33:139.264
22.02.2008 javacpl.cpl 02 33:69.632
22.02.2008 javaw.exe 01 23:135.168
22.02.2008 java.exe 01 23:135.168
20.02.2008 gdi32.dll 08 50:282.624
20.02.2008 dnsrslvr.dll 07 33:45.568


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 236 K
smss.exe 548 Console 0 396 K
csrss.exe 596 Console 0 4.812 K
winlogon.exe 620 Console 0 2.804 K
services.exe 664 Console 0 3.540 K
lsass.exe 676 Console 0 1.732 K
svchost.exe 852 Console 0 5.284 K
svchost.exe 900 Console 0 4.612 K
svchost.exe 940 Console 0 20.116 K
svchost.exe 980 Console 0 3.560 K
svchost.exe 1036 Console 0 3.520 K
svchost.exe 1128 Console 0 4.704 K
WudfHost.exe 1284 Console 0 4.348 K
spoolsv.exe 1408 Console 0 5.596 K
avguard.exe 1448 Console 0 9.300 K
sched.exe 300 Console 0 588 K
AppleMobileDeviceService. 316 Console 0 2.232 K
guard.exe 452 Console 0 20.252 K
ClipInc-Server.exe 492 Console 0 9.424 K
ClipInc-Server.exe 568 Console 0 7.976 K
ClipInc-Server.exe 592 Console 0 8.008 K
ClipInc-Server.exe 860 Console 0 7.996 K
ClipInc-Server.exe 1044 Console 0 7.888 K
ClipInc-Server.exe 1072 Console 0 7.836 K
CTSVCCDA.EXE 1252 Console 0 1.364 K
mdm.exe 1332 Console 0 3.336 K
nvsvc32.exe 1172 Console 0 3.804 K
PnkBstrA.exe 1564 Console 0 2.524 K
svchost.exe 1624 Console 0 4.288 K
searchindexer.exe 1816 Console 0 21.928 K
WgaTray.exe 2452 Console 0 828 K
explorer.exe 2484 Console 0 28.380 K
rundll32.exe 3516 Console 0 3.404 K
RTHDCPL.exe 3540 Console 0 29.596 K
GrooveMonitor.exe 3548 Console 0 6.492 K
avgnt.exe 3568 Console 0 1.860 K
jusched.exe 3584 Console 0 2.472 K
LVCOMSX.EXE 3616 Console 0 4.496 K
CTCheck.exe 3676 Console 0 10.736 K
iTunesHelper.exe 3920 Console 0 8.940 K
avgas.exe 3976 Console 0 10.832 K
NMBgMonitor.exe 4008 Console 0 5.224 K
ICQ.exe 4032 Console 0 31.856 K
CTSyncU.exe 4064 Console 0 26.784 K
ctfmon.exe 192 Console 0 4.000 K
NMIndexingService.exe 2296 Console 0 3.640 K
ClipIncTray.exe 2384 Console 0 5.800 K
iPodService.exe 2396 Console 0 4.240 K
alg.exe 2832 Console 0 3.596 K
AnyDVD.exe 2856 Console 0 10.136 K
AIRPLUS.exe 3700 Console 0 5.856 K
wuauclt.exe 2656 Console 0 4.064 K
MemeoBackup.exe 3968 Console 0 10.380 K
OUTLOOK.EXE 1744 Console 0 33.100 K
firefox.exe 3988 Console 0 46.608 K
WinRAR.exe 2884 Console 0 12.780 K
cmd.exe 880 Console 0 2.116 K
tasklist.exe 2324 Console 0 4.576 K
wmiprvse.exe 2824 Console 0 5.692 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 22.05.2008 um 19:18:57,15 ***






Mit freundlichen Grüßen,
Sven Veismann

PS: War das alles oder muss ich noch irgendetwas machen?
Seitenanfang Seitenende
22.05.2008, 21:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
erstelle eine neue cfscript.txt , wieder auf Combofix ziehen + Combofix erneut anwenden

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\Software\KvmSecure]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\KvmSecure]
[-HKEY_CURRENT_USER\Software\Adsl Software Limited]

File::
C:\Dokumente und Einstellungen\Sven Veismann\Lokale Einstellungen\Temp\Tempboome20.exe
C:\Dokumente und Einstellungen\Sven Veismann\Desktop\KvmSecure.lnk
c:\dokumente und einstellungen\Sven Veismann\anwendungsdaten\microsoft\internet explorer\quick launch\KvmSecure.lnk

Folder::
C:\Dokumente und Einstellungen\Sven Veismann\Startmenü\Programme\KvmSecure
««
scanne mit Malwarebytes + poste den report (lasse alles entfernen, was gefunden wird)
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.05.2008, 06:53
...neu hier

Themenstarter

Beiträge: 3
#5 Hier ist das neue logfile von Combofix:






ComboFix 08-05-21.3 - Sven Veismann 2008-05-22 23:01:11.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1406 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sven Veismann\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Sven Veismann\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
c:\dokumente und einstellungen\Sven Veismann\anwendungsdaten\microsoft\internet explorer\quick launch\KvmSecure.lnk
C:\Dokumente und Einstellungen\Sven Veismann\Desktop\KvmSecure.lnk
C:\Dokumente und Einstellungen\Sven Veismann\Lokale Einstellungen\Temp\Tempboome20.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-22 bis 2008-05-22 ))))))))))))))))))))))))))))))
.

2008-05-21 20:09 . 2008-05-21 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-05-21 19:56 . 2008-05-21 19:56 <DIR> d-------- C:\Programme\Trend Micro
2008-05-21 19:43 . 2006-09-05 18:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-21 15:36 . 2008-05-21 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\TmpRecentIcons
2008-05-16 16:04 . 2008-05-16 16:04 <DIR> d-------- C:\Program Files
2008-05-16 16:04 . 2003-07-21 05:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2008-05-16 16:04 . 2005-01-04 20:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2008-05-11 15:12 . 2008-05-11 21:15 275,258 --a------ C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\mdb.bin
2008-05-11 14:47 . 2008-05-22 19:45 <DIR> d-------- C:\Programme\Rossmann Fotoservice
2008-05-04 22:00 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-05-04 21:59 . 2008-05-04 21:59 <DIR> d-------- C:\Programme\Magical Glass
2008-05-04 21:59 . 2008-05-04 21:59 <DIR> d-------- C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\FreeStone Group
2008-04-26 20:00 . 2008-04-26 20:02 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-04-26 20:00 . 2008-04-26 20:01 677 --a------ C:\WINDOWS\mozver.dat
2008-04-24 21:35 . 2008-04-24 21:35 <DIR> d-------- C:\Programme\iTunes
2008-04-24 21:35 . 2008-04-24 21:35 <DIR> d-------- C:\Programme\iPod
2008-04-24 21:20 . 2008-04-24 21:20 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-24 20:28 . 2008-04-24 20:28 <DIR> d-------- C:\Programme\Xvid
2008-04-24 20:28 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-04-24 20:28 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-04-24 20:28 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 18:05 --------- d-----w C:\Programme\Programme
2008-05-22 18:03 --------- d-----r C:\Programme\Kommunikation
2008-05-22 18:02 --------- d-----w C:\Programme\Office
2008-05-22 17:48 --------- d-----w C:\Programme\Windows Desktop Search
2008-05-22 17:47 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-22 17:45 --------- d-----w C:\Programme\LimeWire
2008-05-22 17:44 --------- d-----w C:\Programme\EA GAMES
2008-05-21 13:41 --------- d-----w C:\Programme\ICQToolbar
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CISUnins.exe
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CICUnins.exe
2008-04-24 19:34 --------- d-----w C:\Programme\QuickTime
2008-04-21 18:20 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-04-20 16:46 --------- d-----w C:\Programme\Trust
2008-04-09 14:09 --------- d-----w C:\Dokumente und Einstellungen\Sven Veismann\Anwendungsdaten\ICQ
2008-03-31 18:57 --------- d-----w C:\Programme\Java
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-26 17:55 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_8203.exe
2008-02-26 17:55 14,852 ----a-w C:\Programme\settings.dat
2007-12-27 22:43 1,491 ----a-w C:\Programme\Paint.lnk
2007-11-06 18:11 1,480 ----a-w C:\Programme\Rechner.lnk
2007-10-08 18:13 185,928 ----a-w C:\Programme\googlebar-0.9.15.11-fx+ns.xpi
2007-10-07 09:28 9,610 ----a-w C:\Programme\WEB.DE-Kontakte.csv
2007-10-01 18:02 772 ----a-w C:\Programme\Windows Media Player.lnk
2007-09-24 06:19 747 ----a-w C:\Programme\Internet Explorer.lnk
2007-09-24 06:08 839 ----a-w C:\Programme\WordPad.lnk
2007-09-24 06:08 621 ----a-w C:\Programme\Windows Messenger.lnk
2007-09-24 06:07 2,004 ----a-w C:\Programme\MSN.lnk
.

((((((((((((((((((((((((((((( snapshot@2008-05-22_15.44.17,03 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-22 10:56:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-22 21:04:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-16 14:06:22 315,560 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-05-22 21:04:04 302,824 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-04-04 19:10:44 91,478 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-22 17:48:23 81,672 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-04-04 19:10:44 68,540 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-22 17:48:23 68,540 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-04 19:10:44 477,570 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-22 17:48:23 452,758 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-04-04 19:10:44 435,896 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-22 17:48:23 435,896 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27 153136]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]
"CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 12:03 868352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-12-21 14:34 1649600]
"ClipIncSrvTray"="C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" [2008-04-18 18:08 584704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"nwiz"="nwiz.exe" [2006-10-31 08:35 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 08:35 86016]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 12:00 262401]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 12:52 221184]
"CTCheck"="C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 12:08 397312]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"WireLessMouse"="C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe" [2007-03-06 12:18 212992]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2008-05-21 19:51 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Games\\CS 1.6\\Valve an Recker-neu\\hl.exe"=
"D:\\Games\\CSSource\\hl2.exe"=
"C:\\Programme\\Half-Life 2 Deathmatch\\hl2.exe"=
"D:\\Games\\cSS-bETA\\hl2.exe"=
"D:\\Games\\War3\\war3.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R2 ClipInc001;ClipInc 001;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 ClipInc004;ClipInc 004;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 004 []
R2 ClipInc005;ClipInc 005;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 005 []
R2 ClipInc006;ClipInc 006;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 006 []
R3 KMWDFilter;KMWDFilter;C:\WINDOWS\System32\Drivers\KMWDFilter.SYS [2007-02-13 08:42]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-09 19:58:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-22 23:05:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\WudfHost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\D-Link AirPlus Xtreme G\AIRPLUS.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Memeo\AutoBackup\MemeoBackup.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-22 23:13:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-22 21:13:46
ComboFix2.txt 2008-05-22 13:44:36

10 Verzeichnis(se), 105,680,089,088 Bytes frei
14 Verzeichnis(se), 105,628,024,832 Bytes frei

192 --- E O F --- 2008-04-22 19:06:14






und hier ist das logfile von malwarebytes:




Malwarebytes' Anti-Malware 1.12
Datenbank Version: 779

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 194124
Scan Dauer: 4 hour(s), 19 minute(s), 16 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7c4bcd17-bdba-4078-9d8c-8ca8b7eabe77} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3f8febf0-4a50-4420-904c-52b90054223e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a825b3f7-6d09-4e4b-89a3-0dc05c0121fe} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{46633232-ceae-4e9d-a0b7-37dcecbb97c6} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9b19a112-5f7e-4549-bdc1-9462ddc7d0b9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2499241f-773f-4674-a5bb-edb8fae4f2e7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{465f1d15-1908-4611-bd20-d650b806a32d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e1a6c35d-9281-4310-a493-6b1e2edf63b2} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a26ea128-f6f1-4df9-83c6-f27ef5f29f24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gktxaspm.bpew (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gktxaspm.brdm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gktxaspm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\elsq.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\emxg.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{77940B1A-4A3D-492B-9243-EEBC6A164411}\RP280\A0067389.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{77940B1A-4A3D-492B-9243-EEBC6A164411}\RP280\A0067390.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
23.05.2008, 10:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 «
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

«
lösche C:\QooBox + leere den Papierkorb

«
dann sollte wieder alels o.k. sein, wenn es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: