VIRUS ALERT! + Antivirus 2008 PRO

#0
26.05.2008, 15:12
Member

Beiträge: 23
#1 ich habe das problem das ich nach einer zeit nichts mehr öffnen kann...es kommt dann immer nur der ton von error. außerdem ist wenn ich auf start in der tasklleiste gehe auf der rechten seite alles weg und hinter der uhrzeit steht VIRUS ALERT! ...ich habe antivir auch schon tausendmal durchlaufen lassen aber es findet nichts...spybot findet auch nichts aber ich weiß das es ein virus oder so etwas ist...mein pc is viel langsamer als vorher und es kommt immer ein fenster das sich einfach öffnet man aber nicht lesen kann was da stehen soll...ich hoffe man kann mir helfen...ich hab alles so gemacht wie gesagt : http://board.protecus.de/t23188.htm

danke schon mal im voraus wer mir helfen kann. Max

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54: VIRUS ALERT!, on 26.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
D:\Programme\Java\jre1.6.0_05\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\RocketDock\RocketDock.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
D:\Programme\OpenOffice.org 2.3\program\soffice.exe
D:\Programme\OpenOffice.org 2.3\program\soffice.BIN
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QXK Olive - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: QXK Olive - {B33B96B9-E0C2-4648-9819-A38DDCAFA33C} - C:\WINDOWS\boqnrwdmstg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: gktxaspm - {0983040A-984F-4BEF-BEBE-D3D3342D3954} - C:\WINDOWS\gktxaspm.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [KvmSecure.exe] C:\Programme\KvmSecure\KvmSecure.exe
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: ZDWLan Utility.lnk = D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://icq.oberon-media.com/online//online2/luxor/mjolauncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F29A263F-A675-45AF-9242-C4B34694E456}: NameServer = 172.30.63.1
O21 - SSODL: vregfwlx - {2C0961BC-03E8-4319-97E5-5CEED0B68F3F} - C:\WINDOWS\vregfwlx.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8768 bytes




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 085D-F27A

Verzeichnis von C:\WINDOWS\system32

23.05.2008 08:46: VIRUS ALERT! 6.641 jupdate-1.6.0_05-b13.log
21.05.2008 16:00: VIRUS ALERT! 2.422 wpa.dbl
09.05.2008 23:35: VIRUS ALERT! 16.863.864 MRT.exe
23.04.2008 20:29: VIRUS ALERT! 84.992 Heide-Park Soltau Bildschirmschoner_uninst.exe
10.04.2008 13:49: VIRUS ALERT! 106.216 FNTCACHE.DAT
05.04.2008 18:27: VIRUS ALERT! 397.696 perfh009.dat
05.04.2008 18:27: VIRUS ALERT! 59.916 perfc009.dat
05.04.2008 18:27: VIRUS ALERT! 411.596 perfh007.dat
05.04.2008 18:27: VIRUS ALERT! 72.688 perfc007.dat
05.04.2008 18:27: VIRUS ALERT! 952.874 PerfStringBackup.INI
25.03.2008 06:51: VIRUS ALERT! 187.168 msjint40.dll
25.03.2008 06:51: VIRUS ALERT! 621.344 mswstr10.dll
25.03.2008 06:50: VIRUS ALERT! 355.104 msxbde40.dll
25.03.2008 06:50: VIRUS ALERT! 838.432 mswdat10.dll
25.03.2008 06:50: VIRUS ALERT! 264.992 mstext40.dll
25.03.2008 06:50: VIRUS ALERT! 559.904 msrepl40.dll
25.03.2008 06:50: VIRUS ALERT! 322.336 msrd3x40.dll
25.03.2008 06:50: VIRUS ALERT! 432.928 msrd2x40.dll
25.03.2008 06:50: VIRUS ALERT! 355.104 mspbde40.dll
25.03.2008 06:50: VIRUS ALERT! 219.936 msltus40.dll
25.03.2008 06:50: VIRUS ALERT! 60.192 msjter40.dll
25.03.2008 06:50: VIRUS ALERT! 248.608 msjtes40.dll
25.03.2008 06:50: VIRUS ALERT! 355.112 msjetoledb40.dll
25.03.2008 06:50: VIRUS ALERT! 1.516.568 msjet40.dll
25.03.2008 06:50: VIRUS ALERT! 326.432 msexcl40.dll
25.03.2008 06:50: VIRUS ALERT! 518.944 msexch40.dll
20.03.2008 10:03: VIRUS ALERT! 1.845.376 win32k.sys
11.03.2008 15:24: VIRUS ALERT! 108.144 CmdLineExt.dll
11.03.2008 15:23: VIRUS ALERT! 409.600 wrap_oal.dll
11.03.2008 15:23: VIRUS ALERT! 114.688 OpenAL32.dll
01.03.2008 18:24: VIRUS ALERT! 3.591.680 mshtml.dll
01.03.2008 14:54: VIRUS ALERT! 233.472 webcheck.dll
01.03.2008 14:54: VIRUS ALERT! 826.368 wininet.dll
01.03.2008 14:54: VIRUS ALERT! 44.544 pngfilt.dll
01.03.2008 14:54: VIRUS ALERT! 105.984 url.dll
01.03.2008 14:54: VIRUS ALERT! 1.159.680 urlmon.dll
01.03.2008 14:54: VIRUS ALERT! 671.232 mstime.dll
01.03.2008 14:54: VIRUS ALERT! 102.912 occache.dll
01.03.2008 14:54: VIRUS ALERT! 193.024 msrating.dll
01.03.2008 14:54: VIRUS ALERT! 478.208 mshtmled.dll
01.03.2008 14:53: VIRUS ALERT! 459.264 msfeeds.dll
01.03.2008 14:53: VIRUS ALERT! 52.224 msfeedsbs.dll
01.03.2008 14:53: VIRUS ALERT! 1.831.424 inetcpl.cpl
01.03.2008 14:53: VIRUS ALERT! 27.648 jsproxy.dll
01.03.2008 14:53: VIRUS ALERT! 267.776 iertutil.dll
01.03.2008 14:53: VIRUS ALERT! 44.544 iernonce.dll
01.03.2008 14:53: VIRUS ALERT! 6.066.176 ieframe.dll
01.03.2008 14:53: VIRUS ALERT! 384.512 iedkcs32.dll
01.03.2008 14:53: VIRUS ALERT! 214.528 dxtrans.dll
01.03.2008 14:53: VIRUS ALERT! 63.488 icardie.dll
01.03.2008 14:53: VIRUS ALERT! 230.400 ieaksie.dll
01.03.2008 14:53: VIRUS ALERT! 383.488 ieapfltr.dll
01.03.2008 14:53: VIRUS ALERT! 153.088 ieakeng.dll
01.03.2008 14:53: VIRUS ALERT! 133.120 extmgr.dll
01.03.2008 14:53: VIRUS ALERT! 124.928 advpack.dll
01.03.2008 14:53: VIRUS ALERT! 347.136 dxtmsft.dll




und hier noch de Combofix:

ComboFix 08-05-25.5 - Besitzer 2008-05-26 19:34:51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1549 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\gnowmebk.dll
C:\WINDOWS\nldfmtappdm.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-26 bis 2008-05-26 ))))))))))))))))))))))))))))))
.

2008-05-26 14:28 . 2008-05-26 19:23 632 --a------ C:\WINDOWS\Sof2.INI
2008-05-25 08:51 . 2008-05-25 08:51 <DIR> d-------- C:\Programme\Antivirus 2008 PRO
2008-05-25 08:25 . 2008-05-24 17:19 323,584 --a------ C:\WINDOWS\vregfwlx.dll
2008-05-25 08:25 . 2008-05-24 17:19 266,240 --a------ C:\WINDOWS\boqnrwdmstg.dll
2008-05-25 08:25 . 2008-05-24 17:19 159,744 --a------ C:\WINDOWS\edwf.exe
2008-05-25 08:25 . 2008-05-24 17:20 94,208 --a------ C:\WINDOWS\xmpstean.exe
2008-05-23 13:43 . 2008-05-25 20:43 526 --a------ C:\WINDOWS\wininit.ini
2008-05-23 13:15 . 2008-05-23 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-23 12:46 . 2008-05-25 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TmpRecentIcons
2008-05-23 11:03 . 2008-05-23 04:25 94,208 --a------ C:\WINDOWS\epse.exe
2008-05-23 11:03 . 2008-05-23 04:25 81,920 --a------ C:\WINDOWS\mdtgkswr.exe
2008-05-16 14:50 . 2008-05-16 14:51 <DIR> d-------- C:\Programme\ABIschnitt
2008-05-14 15:58 . 2008-05-14 15:58 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-05-10 09:23 . 2004-08-18 10:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-05-01 22:23 . 2008-05-01 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2008-04-27 21:11 . 2008-04-27 21:11 10 --a------ C:\WINDOWS\popcinfo.dat
2008-04-27 20:27 . 2008-04-29 17:02 <DIR> d-------- C:\Programme\Oberon Media
2008-04-27 20:27 . 2008-05-25 08:54 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 17:01 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-04-26 14:58 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-04-26 12:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-25 19:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
2008-04-25 19:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap
2008-04-25 17:37 --------- d-----w C:\Programme\Latein-Wörterbuch
2008-04-23 18:29 84,992 ----a-w C:\WINDOWS\system32\Heide-Park Soltau Bildschirmschoner_uninst.exe
2008-04-23 14:45 --------- d-----w C:\Programme\Winamp Toolbar
2008-04-23 14:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-04-23 14:44 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Winamp
2008-04-19 21:57 --------- d-----w C:\Programme\CR-Software
2008-04-05 18:28 --------- d-----w C:\Programme\ICQToolbar
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-11 13:24 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-11 13:23 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-03-11 13:23 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B33B96B9-E0C2-4648-9819-A38DDCAFA33C}]
2008-05-24 17:19 266240 --a------ C:\WINDOWS\boqnrwdmstg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]
"{0983040A-984F-4BEF-BEBE-D3D3342D3954}"= "C:\WINDOWS\gktxaspm.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CLASSES_ROOT\clsid\{0983040a-984f-4bef-bebe-d3d3342d3954}]
[HKEY_CLASSES_ROOT\gktxaspm.1]
[HKEY_CLASSES_ROOT\TypeLib\{3B1BB93D-8DA6-4F13-87D8-2501003E2236}]
[HKEY_CLASSES_ROOT\gktxaspm]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"RocketDock"="D:\Programme\RocketDock\RocketDock.exe" [2007-09-02 14:58 495616]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ICQ"="D:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"KvmSecure.exe"="C:\Programme\KvmSecure\KvmSecure.exe" [ ]
"antivirus-2008pro.exe"="C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe" [2008-05-25 08:51 1500672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 08:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-20 00:05 8429568]
"nwiz"="nwiz.exe" [2007-04-20 00:05 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-20 00:05 81920]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 16:12 262401]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [2003-04-02 15:56 131072]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"WinampAgent"="D:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\Besitzer\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - D:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 23:57:56 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZDWLan Utility.lnk - D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe [2008-02-17 19:54:38 495616]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 1 (0x1)
"NoStartMenuMorePrograms"= 0 (0x0)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vregfwlx"= {2C0961BC-03E8-4319-97E5-5CEED0B68F3F} - C:\WINDOWS\vregfwlx.dll [2008-05-24 17:19 323584]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Spiele\\Microsoft Flight Simulator X\\fsx.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Spiele\\XIII\\system\\XIII.exe"=

R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
R3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 12:38]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2004-08-16 15:36]
S3 SaiHFFB5;SaiHFFB5;C:\WINDOWS\system32\DRIVERS\SaiHFFB5.sys [2004-08-16 15:36]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-26 12:54:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 19:35:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ToUcamVProperty = C:\PROGRA~1\PHILIP~1\VProperty.exe??~?1?\?V?P?r?o?p?e?r?t?y?.?e?x?e????????????????????????????????????????????
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
antivirus-2008pro.exe = C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe??????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-26 19:36:34
ComboFix-quarantined-files.txt 2008-05-26 17:36:23

5 Verzeichnis(se), 2,184,380,416 Bytes frei
7 Verzeichnis(se), 2,176,045,056 Bytes frei

155 --- E O F --- 2008-05-18 19:33:11
Dieser Beitrag wurde am 26.05.2008 um 19:38 Uhr von nightmare96 editiert.
Seitenanfang Seitenende
26.05.2008, 19:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

ich habe editiert ;)

1.
wende cleaner an + lösche die termp-Dateien
http://www.ccleaner.de/?protecus.de

2.
Search & Destroy\TeaTimer.exe" - zeitweise deaktivieren

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B33B96B9-E0C2-4648-9819-A38DDCAFA33C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0983040A-984F-4BEF-BEBE-D3D3342D3954}"=-
[-HKEY_CLASSES_ROOT\clsid\{0983040a-984f-4bef-bebe-d3d3342d3954}]
[-HKEY_CLASSES_ROOT\gktxaspm.1]
[-HKEY_CLASSES_ROOT\TypeLib\{3B1BB93D-8DA6-4F13-87D8-2501003E2236}]
[-HKEY_CLASSES_ROOT\gktxaspm]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
"KvmSecure.exe"=-
"antivirus-2008pro.exe"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"=-
"NoStartMenuMorePrograms"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"ProductId"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vregfwlx"=-

File::
C:\WINDOWS\wininit.ini
C:\WINDOWS\epse.exe
C:\WINDOWS\edwf.exe
C:\WINDOWS\xmpstean.exe
C:\WINDOWS\mdtgkswr.exe
C:\WINDOWS\nldfmtappdm.dll
C:\WINDOWS\boqnrwdmstg.dll
C:\WINDOWS\vregfwlx.dll
C:\Dokumente und Einstellungen\Besitzer\Desktop\KvmSecure.lnk
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\microsoft\internet explorer\quick launch\KvmSecure.lnk

Folder::
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\KvmSecure
C:\Programme\KvmSecure
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Programme\Antivirus 2008 PRO
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

------------------------------------------------------------------

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

3.
PC neustarten

4.
wende rvaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

5.
wende Combofix noch mal an + poste den report

--------------

6.
zusätzlich zu allen anderen Anweisungen:
um das hier zu entfernen:
Scan saved at 14:54: VIRUS ALERT!, on 26.05.2008

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

VIRUS ALERT!

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.05.2008, 20:15
Member

Themenstarter

Beiträge: 23
#3 aber wo steht denn der eintrag den ich anhaken muss?

lg max
Dieser Beitrag wurde am 26.05.2008 um 21:23 Uhr von nightmare96 editiert.
Seitenanfang Seitenende
27.05.2008, 00:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich habs im Singular geschrieben ..also im Plural: Einträge !, die im "Zitat" blauen Fenster stehen... (ich habe editiert, du musst also nur die 2 Einträge fixen)

man bekommt das sauber, allerdings brauche ich einige Logs, für die Reinigung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2008, 14:23
Member

Themenstarter

Beiträge: 23
#5 hier ist der rvaxo report:

---RVAXO.exe Updated: 2008-05-27---first run---
Uninstallers:

Files found:
C:\WINDOWS\boqnrwdmstg.dll
C:\WINDOWS\edwf.exe
C:\WINDOWS\xmpstean.exe
C:\WINDOWS\vregfwlx.dll
C:\WINDOWS\mdtgkswr.exe
C:\WINDOWS\wininit.ini

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------


und hier noch der andere Combofix report:

ComboFix 08-05-26.2 - Besitzer 2008-05-27 14:23:52.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1571 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-27 bis 2008-05-27 ))))))))))))))))))))))))))))))
.

2008-05-26 14:28 . 2008-05-26 19:23 632 --a------ C:\WINDOWS\Sof2.INI
2008-05-25 08:51 . 2008-05-25 08:51 <DIR> d-------- C:\Programme\Antivirus 2008 PRO
2008-05-23 13:15 . 2008-05-23 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-23 12:46 . 2008-05-25 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TmpRecentIcons
2008-05-23 11:03 . 2008-05-23 04:25 94,208 --a------ C:\WINDOWS\epse.exe
2008-05-16 14:50 . 2008-05-16 14:51 <DIR> d-------- C:\Programme\ABIschnitt
2008-05-14 15:58 . 2008-05-14 15:58 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-05-10 09:23 . 2004-08-18 10:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-05-01 22:23 . 2008-05-01 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2008-04-27 21:11 . 2008-04-27 21:11 10 --a------ C:\WINDOWS\popcinfo.dat
2008-04-27 20:27 . 2008-04-29 17:02 <DIR> d-------- C:\Programme\Oberon Media
2008-04-27 20:27 . 2008-05-25 08:54 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 12:20 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-04-26 14:58 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-04-26 12:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-25 19:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
2008-04-25 19:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap
2008-04-25 17:37 --------- d-----w C:\Programme\Latein-Wörterbuch
2008-04-23 18:29 84,992 ----a-w C:\WINDOWS\system32\Heide-Park Soltau Bildschirmschoner_uninst.exe
2008-04-23 14:45 --------- d-----w C:\Programme\Winamp Toolbar
2008-04-23 14:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-04-23 14:44 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Winamp
2008-04-19 21:57 --------- d-----w C:\Programme\CR-Software
2008-04-05 18:28 --------- d-----w C:\Programme\ICQToolbar
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-11 13:24 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-11 13:23 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-03-11 13:23 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-05-26_19.36.15,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-26 16:59:42 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-27 12:19:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72976A08-625C-41C1-AD59-780F96CC2473}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B33B96B9-E0C2-4648-9819-A38DDCAFA33C}]
C:\WINDOWS\boqnrwdmstg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]
"{0983040A-984F-4BEF-BEBE-D3D3342D3954}"= "C:\WINDOWS\gktxaspm.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CLASSES_ROOT\clsid\{0983040a-984f-4bef-bebe-d3d3342d3954}]
[HKEY_CLASSES_ROOT\gktxaspm.1]
[HKEY_CLASSES_ROOT\TypeLib\{3B1BB93D-8DA6-4F13-87D8-2501003E2236}]
[HKEY_CLASSES_ROOT\gktxaspm]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"RocketDock"="D:\Programme\RocketDock\RocketDock.exe" [2007-09-02 14:58 495616]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ICQ"="D:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"KvmSecure.exe"="C:\Programme\KvmSecure\KvmSecure.exe" [ ]
"antivirus-2008pro.exe"="C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe" [2008-05-25 08:51 1500672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 08:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-20 00:05 8429568]
"nwiz"="nwiz.exe" [2007-04-20 00:05 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-20 00:05 81920]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 16:12 262401]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [2003-04-02 15:56 131072]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"WinampAgent"="D:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\Besitzer\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - D:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 23:57:56 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZDWLan Utility.lnk - D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe [2008-02-17 19:54:38 495616]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 1 (0x1)
"NoStartMenuMorePrograms"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Spiele\\Microsoft Flight Simulator X\\fsx.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Spiele\\XIII\\system\\XIII.exe"=

R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
R3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 12:38]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2004-08-16 15:36]
S3 SaiHFFB5;SaiHFFB5;C:\WINDOWS\system32\DRIVERS\SaiHFFB5.sys [2004-08-16 15:36]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-26 12:54:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 14:24:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ToUcamVProperty = C:\PROGRA~1\PHILIP~1\VProperty.exe??~?1?\?V?P?r?o?p?e?r?t?y?.?e?x?e??????????????????????????????????????????
antivirus-2008pro.exe = C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-27 14:25:32
ComboFix-quarantined-files.txt 2008-05-27 12:25:25
ComboFix2.txt 2008-05-27 12:02:06
ComboFix3.txt 2008-05-26 17:36:35

5 Verzeichnis(se), 2,204,454,912 Bytes frei
7 Verzeichnis(se), 2,193,993,728 Bytes frei

148 --- E O F --- 2008-05-18 19:33:11

UND HIER NOCH DAS VON DER NR.6:<-*-*-*-*-*-*-*-*-*-*-*-*-**---**--

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "VIRUS ALERT!" 27.05.2008 14:30:37

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"ProductId"="VIRUS ALERT!"

[HKEY_USERS\S-1-5-21-796845957-1450960922-839522115-1003\Control Panel\International]
"sTimeFormat"="HH:mm: VIRUS ALERT!"
Dieser Beitrag wurde am 27.05.2008 um 14:34 Uhr von nightmare96 editiert.
Seitenanfang Seitenende
27.05.2008, 14:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"ProductId"=-
[HKEY_USERS\S-1-5-21-796845957-1450960922-839522115-1003\Control Panel\International]
"sTimeFormat"="HH:mm:ss"
Doppelklick auf fix.reg und füge sie der registry zu


««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern (Script bitte ohne "Zitat" abkopieren.....)



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72976A08-625C-41C1-AD59-780F96CC2473}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B33B96B9-E0C2-4648-9819-A38DDCAFA33C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0983040A-984F-4BEF-BEBE-D3D3342D3954}"=-
[-HKEY_CLASSES_ROOT\clsid\{0983040a-984f-4bef-bebe-d3d3342d3954}]
[-HKEY_CLASSES_ROOT\gktxaspm.1]
[-HKEY_CLASSES_ROOT\TypeLib\{3B1BB93D-8DA6-4F13-87D8-2501003E2236}]
[-HKEY_CLASSES_ROOT\gktxaspm]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
"KvmSecure.exe"=-
"antivirus-2008pro.exe"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"=-
"NoStartMenuMorePrograms"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vregfwlx"=-

File::
C:\WINDOWS\wininit.ini
C:\WINDOWS\epse.exe
C:\WINDOWS\edwf.exe
C:\WINDOWS\xmpstean.exe
C:\WINDOWS\mdtgkswr.exe
C:\WINDOWS\nldfmtappdm.dll
C:\WINDOWS\boqnrwdmstg.dll
C:\WINDOWS\vregfwlx.dll
C:\Dokumente und Einstellungen\Besitzer\Desktop\KvmSecure.lnk
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\microsoft\internet explorer\quick launch\KvmSecure.lnk

Folder::
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\KvmSecure
C:\Programme\KvmSecure
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Programme\Antivirus 2008 PRO
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



«
danach: Combofix noch einmal anwenden

------------------------------------------------------------------

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

3.

««
PC neustarten

««
wende Combofix noch mal an + poste den report

--------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2008, 15:47
Member

Themenstarter

Beiträge: 23
#7 hier is noch ma de combo:

ComboFix 08-05-26.2 - Besitzer 2008-05-27 15:26:47.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1568 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-27 bis 2008-05-27 ))))))))))))))))))))))))))))))
.

2008-05-27 15:24 . 2008-05-27 15:25 <DIR> d-------- C:\RVAXO
2008-05-27 15:22 . 2008-05-27 14:30 828,816 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-27 15:22 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-26 14:28 . 2008-05-26 19:23 632 --a------ C:\WINDOWS\Sof2.INI
2008-05-23 13:15 . 2008-05-23 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-23 12:46 . 2008-05-25 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TmpRecentIcons
2008-05-16 14:50 . 2008-05-16 14:51 <DIR> d-------- C:\Programme\ABIschnitt
2008-05-14 15:58 . 2008-05-14 15:58 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-05-10 09:23 . 2004-08-18 10:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-05-01 22:23 . 2008-05-01 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2008-04-27 21:11 . 2008-04-27 21:11 10 --a------ C:\WINDOWS\popcinfo.dat
2008-04-27 20:27 . 2008-04-29 17:02 <DIR> d-------- C:\Programme\Oberon Media
2008-04-27 20:27 . 2008-05-25 08:54 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 13:25 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-04-26 14:58 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-04-26 12:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-25 19:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
2008-04-25 19:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap
2008-04-25 17:37 --------- d-----w C:\Programme\Latein-Wörterbuch
2008-04-23 18:29 84,992 ----a-w C:\WINDOWS\system32\Heide-Park Soltau Bildschirmschoner_uninst.exe
2008-04-23 14:45 --------- d-----w C:\Programme\Winamp Toolbar
2008-04-23 14:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-04-23 14:44 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Winamp
2008-04-19 21:57 --------- d-----w C:\Programme\CR-Software
2008-04-05 18:28 --------- d-----w C:\Programme\ICQToolbar
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-11 13:24 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-11 13:23 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-03-11 13:23 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-05-26_19.36.15,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-26 16:59:42 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-27 13:24:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"RocketDock"="D:\Programme\RocketDock\RocketDock.exe" [2007-09-02 14:58 495616]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ICQ"="D:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 08:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-20 00:05 8429568]
"nwiz"="nwiz.exe" [2007-04-20 00:05 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-20 00:05 81920]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 16:12 262401]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [2003-04-02 15:56 131072]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"WinampAgent"="D:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\Besitzer\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - D:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 23:57:56 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZDWLan Utility.lnk - D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe [2008-02-17 19:54:38 495616]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Spiele\\Microsoft Flight Simulator X\\fsx.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Spiele\\XIII\\system\\XIII.exe"=

R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
R3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 12:38]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2004-08-16 15:36]
S3 SaiHFFB5;SaiHFFB5;C:\WINDOWS\system32\DRIVERS\SaiHFFB5.sys [2004-08-16 15:36]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-26 12:54:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 15:27:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ToUcamVProperty = C:\PROGRA~1\PHILIP~1\VProperty.exe??~?1?\?V?P?r?o?p?e?r?t?y?.?e?x?e??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-27 15:28:25
ComboFix-quarantined-files.txt 2008-05-27 13:28:16
ComboFix2.txt 2008-05-27 13:15:02
ComboFix3.txt 2008-05-27 12:25:33
ComboFix4.txt 2008-05-27 12:02:06
ComboFix5.txt 2008-05-26 17:36:35

6 Verzeichnis(se), 2,179,354,624 Bytes frei
8 Verzeichnis(se), 2,169,131,008 Bytes frei

136 --- E O F --- 2008-05-18 19:33:11
Seitenanfang Seitenende
27.05.2008, 15:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 fein ;)
poste bitte ein neues Log vom HijackThis

und berichte, ob du wieder alles anklicken kannst
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2008, 16:06
Member

Themenstarter

Beiträge: 23
#9 ja ich kann wieder alles anklicken und das virus alert ist auch weg. nur sind in der taskleiste wenn man dann auf start geht die symbole rechts noch weg...wo man auch in systemsteuerungund arbeitsplatz gehen kann...

hier:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:45, on 27.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
D:\Programme\Java\jre1.6.0_05\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\RocketDock\RocketDock.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\OpenOffice.org 2.3\program\soffice.exe
D:\Programme\OpenOffice.org 2.3\program\soffice.BIN
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: ZDWLan Utility.lnk = D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://icq.oberon-media.com/online//online2/luxor/mjolauncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F29A263F-A675-45AF-9242-C4B34694E456}: NameServer = 172.30.63.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7659 bytes
Seitenanfang Seitenende
27.05.2008, 16:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 hat ja alles wunderbar geklappt ;)

««
wende silentruner an + poste den report
http://virus-protect.org/silentrunner.html

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
RVAXO entfernen:
Öffne die Datei RVAXO auf deinem Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

««
scanne mit malwarebytes, lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2008, 16:48
Member

Themenstarter

Beiträge: 23
#11 hier:


"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"RocketDock" = ""D:\Programme\RocketDock\RocketDock.exe"" [null data]
"MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"ICQ" = ""D:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"avgnt" = ""D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ToUcamVProperty" = "C:\PROGRA~1\PHILIP~1\VProperty.exe" ["Philips PC Cameras"]
"SunJavaUpdateSched" = ""D:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Reader Speed Launcher" = ""D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""D:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"WinampAgent" = "D:\Programme\Winamp\winampa.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\(Default) = "Winamp Toolbar Loader"
-> {HKLM...CLSID} = "Winamp Toolbar Loader"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC."]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "D:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x0000000C
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""D:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]

iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""D:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]

iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""D:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]

iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""D:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "D:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "D:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "D:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
-> {HKLM...CLSID} = "ShellExecute HW Event Handler"
\LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

WinampPlayMediaOnArrival\
"Provider" = "Winamp"
"InvokeProgID" = "Winamp.File"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""D:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = ""D:\Programme\Winamp\winamp.exe"" ["Nullsoft"]


Startup items in "Besitzer" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart
"OpenOffice.org 2.3" -> shortcut to: "D:\Programme\OpenOffice.org 2.3\program\quickstart.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ZDWLan Utility" -> shortcut to: "D:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe" [empty string]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\Bonjour\mdnsNSP.dll" ["Apple Inc."]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}" = "Winamp Toolbar"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "D:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "D:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}" = "*i" (unwritable string)
-> {HKLM...CLSID} = "Winamp Search Class"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" ["AOL LLC."]
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "*i" (unwritable string)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Bonjour-Dienst, Bonjour Service, "C:\Programme\Bonjour\mDNSResponder.exe" ["Apple Inc."]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


---------- (launch time: 2008-05-27 16:46:36)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 30 seconds, including 7 seconds for message boxes)
Dieser Beitrag wurde am 27.05.2008 um 17:48 Uhr von nightmare96 editiert.
Seitenanfang Seitenende
27.05.2008, 18:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
dann wieder die neu.reg anklicken + der Registry beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDrives"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-

PC neustarten

««
berichte, ob nun alles wieder funktioniert

««
««
scanne mit malwarebytes, lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2008, 19:07
Member

Themenstarter

Beiträge: 23
#13 hier der report von malware:was ist den eigentlich malware?


Malwarebytes' Anti-Malware 1.12
Datenbank Version: 722

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 190855
Scan Dauer: 39 minute(s), 35 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)




so jetzt ist das ja fertig mit meinem pc.....aber könnte ich dich da vielleicht ncoh etwas fragen? also: ich habe ein computer spiel mit 2 cd's ....so...ich lege die erste cd ein und drücke installieren...es geht auch alles bis ichd ie zweite cd einlegen soll....das mache ich dann auch aber dann sagt er weiterhin ich soll cd 2 einlegen obwohl die ja drinnen ist...es kann auch nciht die falsche sein weil wenn ich ohne setup so auf die cd zugreife steht da auch SoF 2 CD_2 ...und auf der cd ist auch ein autorun und die ganzen setup dateien...wenn ich da auf setup drücke dann sagst cd 1 einlegen...kann ich das irgenwie so machen dadas setup dann auf die cd zwei auch zugreift? weil der pc erkennt es ja greift nur nicht auf die cd zu um weiter zu machen......ich hoffe SEHR das du mir helfen kannst...danke jetzt schon mal ;)

lg max
Dieser Beitrag wurde am 27.05.2008 um 20:01 Uhr von nightmare96 editiert.
Seitenanfang Seitenende
28.05.2008, 00:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ich denke nicht, dass es ein Hardwareproblem ist, sondern die CD an sich.
Welches Spiel ist das ? Ist es eine Kopie oder ein Original ? Ist CD 2 zerkratzt ? Beschädigt ?
Passiert das erst jetzt (seit der Rechner verseucht war) oder schon immer ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.05.2008, 02:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo,

dann muss die ProductID in der Registry wieder hergestellt werden, denn auch die wurde von "Virus Alert!" gelöscht
diese ProductID besteht aus 20 Nummern. Und ist wichtig, wenn zum Beispiel die Windowsupdates machen will.
Ist die PrductID nicht korrekt, erscheint ein Fehler: Windows XP Validation - "Unable to complete genuine Windows validation" oder : "0x80080201 Cannot detect product ID (PID)"

der Schlüssel wurde von Virus Alert! entfernt , statt dessens steht da: VIRUS ALERT!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"ProductId"= VIRUS ALERT!


den korrekten Schlüssel findet man unter:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"ProductId"="XXXX-XXX-XXXXXXX-XXXXX"

(die X stehen für die 20 Nummern und Buchstaben)




rechtsklick auf: ProductId - modify


Beispiel


----------------------------------------------------------------------

um den Key in der Registry wieder herzustellen:
Start - Ausführen - regedit

HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion «ProductId

rechtsklick auf: ProductId - modify


XXXX-XXX-XXXXXXX-XXXXX - Key reinschreiben oder reinkopieren, den man vorher unter

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]

gefunden hat.
(die X stehen für die 20 Nummern und Buchstaben)

klicke o.k., wenn der Key ordnungsgemäss eingetragen ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: